如何提高企業(yè)網(wǎng)站建設(shè)的安全
2010/10/3 6:34:42
一.?dāng)?shù)據(jù)庫安全問題
根據(jù)國內(nèi)相關(guān)網(wǎng)站模板 調(diào)查顯示,國內(nèi)的網(wǎng)站用ASP+Access或SQLServer的占7o%以上.PHP+MySQL占2O%其他的不足1O%。而數(shù)據(jù)庫是一個網(wǎng)網(wǎng)站建設(shè) 站建設(shè)網(wǎng)站的核心,因此數(shù)據(jù)庫的安全也成為網(wǎng)站建設(shè)網(wǎng)站安全的首要問題。
1.?dāng)?shù)據(jù)庫位置和名稱安全。以往許多網(wǎng)站設(shè)計人員會把數(shù)據(jù)庫放在Data或Database等目錄下.對數(shù)據(jù)庫的文件名也通常采用Data、Mydata、Database、DataShq0等.這種做法很容易被非法用戶猜解到并下載用戶數(shù)據(jù)庫.從而使網(wǎng)站建設(shè)網(wǎng)站的所有數(shù)據(jù)被竊取。解決方案:可以采用字母+數(shù)字并超過8位的組合作為數(shù)據(jù)文件目錄或文件名,對于Access文件最好更改其擴展名.MDB為ASP以加強安全性。
2.?dāng)?shù)據(jù)庫連接宇串安全問題
這類安全問題主要是兩個方面;一是在數(shù)據(jù)庫連接字串中不直接出現(xiàn)明文密碼,采用對稱加密密碼可以提高數(shù)據(jù)庫的安全二是數(shù)據(jù)連接文件不要用常見的Conn、DbConn作為文件名,避免使用.inc.a(chǎn)sa、txt作為擴展名,同時也不要把文件放在類似Inc、Data、Conn等目錄下,以防數(shù)據(jù)庫連接被非法下載。
3.?dāng)?shù)據(jù)庫結(jié)構(gòu)安全問題(1)數(shù)據(jù)表的命名問題。為了安全需要,不要直接用類似Admin、User、Product等作為表名,可以使用XX—Admin—XX等形式,用字母和數(shù)宇組合作為表名的前后綴,以防止SQL注入時被猜解出表名。(2)數(shù)據(jù)宇段的命名問題。同樣在數(shù)據(jù)字段命名時,也不要直接用Admin、UserName、用戶名、密碼Passwor、Pwd、UserPwd等作為敏感字段名,可以采用一些難以猜解的字母和數(shù)宇組合來作為字段名以加強數(shù)據(jù)的安全性。(3)數(shù)據(jù)庫權(quán)限安全問題盡量不要把數(shù)據(jù)庫密碼留空或使用弱13令作為數(shù)據(jù)庫密碼,合理使用1O位以上的數(shù)據(jù)庫密碼會進一步加強數(shù)據(jù)庫的安全。
二.WEB服務(wù)器上的安全漏洞。WEB服務(wù)器上的漏洞可以從以下幾方面考慮:
(1)在WEB服務(wù)器上你不讓人訪問的秘密文件、目錄或重要數(shù)據(jù)。(2)WEB服務(wù)器本身存在一些漏洞使得一些人能侵入到主機系統(tǒng).破壞一些重要的數(shù)據(jù).甚至造成系統(tǒng)癱瘓。(3)從遠程用戶向服務(wù)器發(fā)送信息時,特別是信用卡之類東西時.中途遭不法分子非法攔截。(4)還有一些簡單的從網(wǎng)上下載的WEB~JE務(wù)器.沒有過多考慮到一些安全因素.不能用作商業(yè)應(yīng)用。(5)WEB服務(wù)器的一些擴展組件存在漏洞,可能導(dǎo)致網(wǎng)絡(luò)安全和信息泄漏。因此.不管是配置服務(wù)器.還是在編寫網(wǎng)站程序時都要注意系統(tǒng)的安全性。盡量堵住任何存在的漏洞.創(chuàng)造安全的環(huán)境。
2.WEB服務(wù)器安全預(yù)防措施
三、網(wǎng)站程序安全問題及對策
網(wǎng)站建設(shè)網(wǎng)站程序的安全是許多企業(yè)忽視的問題,也是嚴重導(dǎo)致企業(yè)信息泄漏的最主要的途徑之一。
1代碼漏洞安全問題。產(chǎn)生這種漏洞的主要原因是網(wǎng)站程序代碼編寫的不完善造成的.而這種不完善的代碼極有可能會暴露網(wǎng)站的數(shù)據(jù)庫或后臺管理等重要的安全信息(下文均以ASP為例)。(1)數(shù)據(jù)庫連接字串的某些錯誤導(dǎo)致WEBI~.務(wù)器錨誤提示,而這些錯誤提示中可能會含有數(shù)據(jù)庫或表等重要信息。(2)對頁面參數(shù)不作任何判定導(dǎo)致所謂的SQLInjection,即SQL注入從而泄漏用戶信息。這種安全漏洞是2004年以來網(wǎng)站信息安全的最大隱患,而國內(nèi)許多網(wǎng)站建設(shè)網(wǎng)站并沒有采取相應(yīng)的安全措施,導(dǎo)致網(wǎng)站建設(shè)網(wǎng)站很容易被攻破。(3)企業(yè)后臺管理程序中只有主程序要求管理員的身份信息,而其它管理頁面卻忽視了身份驗證信息,這種疏忽使非法用戶可能通過直接輸入后臺的某個管理頁面的形式進入到后臺管理中去,如果正好有管理員密碼修改的頁面出現(xiàn)此問題,則會導(dǎo)致網(wǎng)站后臺的完全暴露。
2.后臺管理程序文件的安全問題。現(xiàn)在大多數(shù)企業(yè)采用后臺管理的方式對網(wǎng)站建設(shè)網(wǎng)站進行管理,網(wǎng)站建設(shè)網(wǎng)站后臺的入13安全是很多企業(yè)忽視的問題。比如許多網(wǎng)站建設(shè)網(wǎng)站后臺入13通
下一頁
返回列表
返回首頁
主站蜘蛛池模板:
国产精品天天看|
无翼乌全彩无漫画大全|
免费一级毛片在线播放傲雪网|
高清国产美女**毛片在线|
国产色婷婷精品综合在线|
xxxxwww免费|
手机在线看片国产|
久久精品99国产精品日本|
欧美巨大xxxx做受高清|
亚洲综合久久精品无码色欲|
综合久久99久久99播放|
国产亚洲精品bt天堂精选|
久久国产真实乱对白|
国产精品欧美一区二区在线看
|
国产日韩在线观看视频网站|
91精品免费看|
天天综合视频网|
三上悠亚ssni_229在线播放|
日本24小时www|
久久综合国产乱子伦精品免费|
欧美成人片一区二区三区|
亚洲色成人网站WWW永久|
精品久久久中文字幕|
吃奶摸下高潮60分钟免费视频|
草莓app在线观看|
国产卡1卡2卡三卡在线|
黑人操日本美女|
国产精品主播叶子闺蜜|
2022男人天堂|
欧美人与动zooz|
亚洲第一页综合图片自拍|
男人插女人视频软件|
再深点灬舒服灬太大了老板|
老师办公室被吃奶好爽在线观看|
国产又黄又大又粗的视频|
91麻豆最新在线人成免费观看
|
国产精品久久久久久一区二区三区|
97se亚洲综合在线|
在线成年人视频|
99在线视频免费|
天堂网www中文在线|