小型網(wǎng)站怎樣預防黑客進犯(一) |
發(fā)布時間:2024-08-26 文章來源:本站 瀏覽次數(shù):1054 |
對于小型網(wǎng)站來說,預防黑客攻擊至關重要。很多網(wǎng)站都在建設各種網(wǎng)絡應用軟件,以期為用戶供給更好的服務,這其間尤以各種創(chuàng)立、修改和管理內容的應用軟件為多。這些體系供給了很多根據(jù)用戶輸入信息的強大互動特性,值得注意的是,考慮安全問題,防止第三方的歹意進犯并保證佳的用戶體驗也變得更為重要。
黑客進犯的類型及阻攔方式:
黑客能夠采納多種不同的進犯方式部分或全部控制一個網(wǎng)站。常見和風險的是SQL植入和跨站點腳本 。
SQL植入是一種在網(wǎng)絡應用程序中植入歹意代碼的技能,它使用數(shù)據(jù)庫層面的安全漏洞以達到不合法控制數(shù)據(jù)庫目的。這種技能非常強大,它能夠操作網(wǎng)址(查詢字符串)或其他任何形式(查找,登錄,電子郵件注冊)以植入歹意代碼。您能夠在網(wǎng)絡應用安全聯(lián)盟(英文)中找到一些關于SQL植入的比如。
為防止此類黑客進犯的產(chǎn)生的確有法可循。舉例來說,在前端界面和后端數(shù)據(jù)庫之間添加一個“中間層”便是一種很好的做法。在PHP中,PDO擴展通常與參數(shù)一起產(chǎn)生效果,而不是直接將用戶輸入做為命令句子。另一種極為簡略的技能 是字符轉義,經(jīng)過這種方式,所有能夠直接影響數(shù)據(jù)庫結構的風險字符都能夠被轉義。例如,參數(shù)中每出現(xiàn)一個單引號[ ‘ ]有必要代之以兩個單引號[ ’ ‘ ]來形成一個有用的SQL字符串。這只是兩種您能夠采納的、常見的用以改善網(wǎng)站安全并防止SQL植入的有用方式。您還能夠在網(wǎng)上找到許多其他契合您需求的資源(編程言語,具體的Web應用程序等)。
下面咱們要介紹的是跨站點腳本技能 。跨站點腳本是一種經(jīng)過使用網(wǎng)絡應用程序層面的安全漏洞,在網(wǎng)頁中植入歹意代碼的技能。當網(wǎng)絡應用程序處理經(jīng)過用戶輸入獲得的數(shù)據(jù),并且在回來給終用戶前沒有任何進一步的查看或驗證時,這種進犯就可能產(chǎn)生。您能夠在網(wǎng)絡應用安全聯(lián)盟(英文)中找到一些跨站點腳本的比如。
有許多辦法能夠保證網(wǎng)絡應用程序不被這種技能侵犯。一些簡便易行的辦法包含:
剔除能夠被插入到表單中的數(shù)據(jù)輸入
使用數(shù)據(jù)編碼,防止?jié)撛诖跻庾址闹苯又踩耄?/div>
在數(shù)據(jù)輸入和數(shù)據(jù)庫端之間創(chuàng)立一個“層”,以防止應用程序代碼被直接植入歹意字符。
SQL植入和跨站點腳本只不過是黑客用來進犯和使用無辜網(wǎng)站的多種技能中的其間兩種。作為一般的安全準則,在網(wǎng)絡安全問題上特別是在使用第三方軟件時,一向堅持更新以保證您安裝了新版別的軟件是非常重要的。許多圍繞大型建站社區(qū)建設的網(wǎng)絡應用程序都供給持續(xù)的支撐和軟件升級。
下面舉個比如,開放源碼內容管理體系的大的四個社區(qū)——Joomla, WordPress, PHP-Nuke 和 Drupa都在他們的網(wǎng)站上供給關于網(wǎng)絡安全方面的常識并且設有大型社區(qū)驅動論壇,用戶能夠提出問題或尋求支撐。例如,在Hardening WordPress,WordPress供給了如何加強CMS安全的綜合性幫助文件。 Joomla供給了許多有關網(wǎng)絡安全的資源,特別是其間的網(wǎng)絡安全查看清單,這些操作都是網(wǎng)絡管理員應該選用的。 |
|