文章介绍了两种常见的网站安全问题——SQL注入和上传漏洞,以及相应的防御措施。对于SQL注入,可以通过增加SQL过滤模块和使用第三方安全系统来防止;对于上传漏洞,建议修复程序,增加权限判断,限制文件后缀和存储路径,同时配合查杀网页木马和设置安全策略来保障网站安全。
防御方法其实也很简单。
1、增加SQL过滤模块
从程序自身改进,对传递过来的每一个参数都做过滤,过滤掉一些危险字符,如:' " ( ) * [ ] = > < % 空格
再使用以上方法注入时,SQL语句就变成了::select * from [admin] where user='xoraa' and password='xoraa'
程序就能正确判断用户名和密码是否正确,成功防止SQL注入。
2、使用第三方安全系统
从程序自身改进是最好的办法,但相当的麻烦,也容易疏忽遗漏,给黑客留下机会。最好能再部署第三方安全系统,进行多重防护。
三、上传漏洞
利用网站在线上传漏洞,上传网页木马,对网站进行挂马、挂黑链、篡改、生成非法内容等破坏,或者进一步入侵服务器。
这种一般是在线上传程序没有判断权限,以及没有对上传的文件存储时的后缀名和路径做严格限制。有以下几种解决办法:
1、修复程序
如果您的网站不是必须使用在线上传,建议直接删除相关程序,彻底杜绝在线上传漏洞。
如果需要使用在线上传,务必增加权限判断功能,只有授权的用户才能上传。存储图片时,强制指定存储路径,并限制文件后缀名只能为特定的(如图片后缀gif、png、jpg)。
2、查杀网页木马
在线上传之所以可怕是因为黑客可能上传网页木马,如果能及时查杀网页木马,也就没什么大问题了。
3、安全策略
从网站结构入手,不同目录赋予不同的访问权限和脚本权限。
如整个网站只给读权限,需要存储上传文件的目录才给写权限,再到IIS设置这个目录没有脚本权限,让黑客即使上传了木马,也无法运行起来。
扫一扫
1503
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
