浅谈网站安全及防范措施

浅谈网站安全及防范措施

方鸿伟

河北科技大学河北石家庄050000

摘要：随着互联网的高速发展，网络开始融入我们生活，学习，娱乐的点点滴滴，互联网如同一把双刃剑，在给我们带来巨大便利的同时，也同样带来了巨大的隐患。网络信息安全在十八大会议中被列入重要议程，信息安全的地位越来越突出，本文将从网站入侵的手段出发，详细阐述如何提高网站安全性，保证网站及网民的信息安全。

一、什么是网站安全

网站安全指的是为了阻止外来入侵者对网站进行挂马，篡改，插入恶意脚本而作出的一系列防御措施。

二、网站漏洞产生的原因

随着互联网的不断发展，以及互联网+的普及与推广，许多网站更加侧重于业务功能的实现，而忽略了安全层面，这导致网站中存在大量可利用漏洞，给黑客可乘之机。

三、常见网站入侵手段1.

1.上传漏洞（Uploadvulnerability）

大多数网站都具有上传功能，像头像上传，文件文档上传等功能，而网站对上传的文件不加检测与过滤或者只是用简单的脚本对扩展名进行检测，这就造就了上传漏洞。黑客通过上传有操作权限的Asp或Php的木马程序并在网站上运行，取得网站的管理权限，对网站进行篡改，破坏等操作。

2.SQL注入漏洞（SqlInject）

SQL注入漏洞指的是在网站提交参数或表单的地方插入特意构造的SQL命令，来对网站数据库进行入侵，若数据库和网站未对关键字进行过滤或者网站本身采取的就是构造动态sql语句访问数据库，那么这段命令便可以在数据库中执行，并返回入侵者想要获得的表单数据，通过返回的数据，入侵者可以取出网站的管理员账户或者用户信息。

3.XSS跨站脚本入侵（CrossSiteScripting）

XSS攻击的本身缩写应该是CSS，可是为了与层叠样式表（CSS）相区分开来，故写作XSS，XSS攻击是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

而XSS攻击大体上分为两大类：储存型XSS和反射型XSS

（1）储存型XSS，这种类型的XSS攻击与“钓鱼”网站相类似，他通过向页面中加入恶意代码，当其他用户浏览被加入恶意代码的页面时，代码会被触发，然后截取其会话的cookies甚至浏览器储存的其他明文密码，将其储存在入侵者指定的地方。该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞，骇客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄漏的可能，其中也包括了Web服务器的管理员。

（2）反射型XSS，此类XSS攻击区别于储存型XSS攻击的地方在于，他将恶意代码嵌入到了URL中，通过用户的点击来触发恶意代码，触发漏洞用户的会话信息便会发送给入侵者，此类比储存型XSS多了一个交互的过程，但本质上是相通的的，目的都是截取用户的会话信息。

4.网站口令爆破

许多网站管理员信息安全意识较低，后台管理密码强度较低，这导致了弱口令漏洞的出现，也给了网站口令爆破可乘之机，大多黑客会运用软件对后台进行爆破攻击尝试，其中最著名的程序便是Burpsuite，通过这个程序，黑客会用准备好的字典对网站后台不断发送携带字典中密码的封包，并通过返回信息确定正确密码的内容。

5.社会工程

社会工程是对管理员以及网站相关人员进行欺骗，从而获取网站信息甚至权限。

6.拒绝访问攻击

此类攻击是黑客常用的攻击手段之一，拒绝访问攻击的种类很多，包括SYN洪水攻击，Ping洪流攻击，teardrop攻击，Land攻击，Smurf攻击，Fraggle攻击等等，其大体思路可分为两种：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把非法用户的连接复位，影响合法用户的连接。

而此类攻击的攻击者大多会运用大量“僵尸机”进行大范围的分布式攻击，所以很难确定攻击源头，加之此类攻击也很难防御，从而拒绝服务攻击也成为了攻击者的终极手法。

7.Cookies欺骗

通过修改保存的Cookies信息，将自己账号的Cookies替换成管理员的Cookies信息便可以获得网站的管理员权限，Cookies同样可以结合XSS跨平台脚本攻击得到。

四、网站维护与安全策略

1.信息加密策略：

信息加密技术可以保证数据在传输，储存过程中的安全性。

在信息传输过程中加密技术大多采用密钥加密，这种加密方式在数据使用时相对方便，因此数据加密在许多场合集中表现为密钥的应用，通常大量使用的两种密钥加密技术是：私用密钥（对称加密）和公共密钥（非对称加密）。

在信息储存过程中加密技术分为密文件和存取控制两种：前者一般通过加密算法转换、附加密码及加密模块等方法实现，后者则是对用户资格加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。

2.数据安全策略

及时备份好服务器与数据库的信息与文件，将其保存在本地光盘或U盘等电子介质中，可以保证当站点遭受破坏性的入侵时，能够及时还原站点数据，继续站点的正常运行。

3.合理配置防火墙

网络防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信

4.定期检查系统日志

按计划定期排查系统日志，系统日志不止可以记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。管理员可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

5.安装第三方安全防护程序

通过在网站安装第三方的防护程序，可以有效防止网站被入侵，大大减少由SQL注入，XSS跨站，struts2漏洞，建站程序漏洞等已公开漏洞所造成的入侵事件，例如：安全狗和360网站防护程序。

6.进行关键字过滤

关键词过滤，也称关键字过滤，对传输信息进行预先的程序或脚本过滤、嗅探指定的关键字词，并通过正则表达式进行筛选，判断网络中是否有违反指定策略的行为。类似于IDS的过滤管理，这种过滤机制是主动的，通常对包含关键词的信息进行阻断连接、取消或延后显示、替换等处理。

7.安全管理策略

拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏意识有关。许多漏洞并非出在计算机系统与程序上，而是出现在管理员与技术人员的疏忽大意。

8.访问控制策略

对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限

9.通过第三方安全平台进行渗透测试与安全检测

通过第三方平台的安全检测与渗透测试，及时地告知管理员网站存在的安全问题。并针对具体漏洞，及时请技术人员修复，找出存在安全隐患程序并准备相关补救程序。在漏洞造成实质性危害前将其修复。

10.网站环境安全

网站环境包括网站所在服务器的安全环境和维护网站者的工作环境的安全很多黑客入侵网站是由于攻击服务器，窃取用户资料。所以在选择服务器时要选择一个有保证的服务商，而且稳定服务器对网站的优化和seo也很有帮助的。

结语

现代计算机网络飞速发展，我们应该加强计算机网络安全的管理，加强计算机网络安全防护，提高用户与管理员的安全防范意识，通过各种途径避免网络侵害，让站点安全稳定的运行下去，为用户创造一份绿色的网络空间。在维护好自身网站安全的同时，也应当对用户进行信息安全宣传，让用户提高安全意识。