小型網(wǎng)站怎樣預(yù)防黑客進(jìn)犯(一) |
發(fā)布時(shí)間:2024-08-26 文章來源:本站 瀏覽次數(shù):1056 |
對于小型網(wǎng)站來說,預(yù)防黑客攻擊至關(guān)重要。很多網(wǎng)站都在建設(shè)各種網(wǎng)絡(luò)應(yīng)用軟件,以期為用戶供給更好的服務(wù),這其間尤以各種創(chuàng)立、修改和管理內(nèi)容的應(yīng)用軟件為多。這些體系供給了很多根據(jù)用戶輸入信息的強(qiáng)大互動(dòng)特性,值得注意的是,考慮安全問題,防止第三方的歹意進(jìn)犯并保證佳的用戶體驗(yàn)也變得更為重要。
黑客進(jìn)犯的類型及阻攔方式:
黑客能夠采納多種不同的進(jìn)犯方式部分或全部控制一個(gè)網(wǎng)站。常見和風(fēng)險(xiǎn)的是SQL植入和跨站點(diǎn)腳本 。
SQL植入是一種在網(wǎng)絡(luò)應(yīng)用程序中植入歹意代碼的技能,它使用數(shù)據(jù)庫層面的安全漏洞以達(dá)到不合法控制數(shù)據(jù)庫目的。這種技能非常強(qiáng)大,它能夠操作網(wǎng)址(查詢字符串)或其他任何形式(查找,登錄,電子郵件注冊)以植入歹意代碼。您能夠在網(wǎng)絡(luò)應(yīng)用安全聯(lián)盟(英文)中找到一些關(guān)于SQL植入的比如。
為防止此類黑客進(jìn)犯的產(chǎn)生的確有法可循。舉例來說,在前端界面和后端數(shù)據(jù)庫之間添加一個(gè)“中間層”便是一種很好的做法。在PHP中,PDO擴(kuò)展通常與參數(shù)一起產(chǎn)生效果,而不是直接將用戶輸入做為命令句子。另一種極為簡略的技能 是字符轉(zhuǎn)義,經(jīng)過這種方式,所有能夠直接影響數(shù)據(jù)庫結(jié)構(gòu)的風(fēng)險(xiǎn)字符都能夠被轉(zhuǎn)義。例如,參數(shù)中每出現(xiàn)一個(gè)單引號(hào)[ ‘ ]有必要代之以兩個(gè)單引號(hào)[ ’ ‘ ]來形成一個(gè)有用的SQL字符串。這只是兩種您能夠采納的、常見的用以改善網(wǎng)站安全并防止SQL植入的有用方式。您還能夠在網(wǎng)上找到許多其他契合您需求的資源(編程言語,具體的Web應(yīng)用程序等)。
下面咱們要介紹的是跨站點(diǎn)腳本技能 ?缯军c(diǎn)腳本是一種經(jīng)過使用網(wǎng)絡(luò)應(yīng)用程序?qū)用娴陌踩┒,在網(wǎng)頁中植入歹意代碼的技能。當(dāng)網(wǎng)絡(luò)應(yīng)用程序處理經(jīng)過用戶輸入獲得的數(shù)據(jù),并且在回來給終用戶前沒有任何進(jìn)一步的查看或驗(yàn)證時(shí),這種進(jìn)犯就可能產(chǎn)生。您能夠在網(wǎng)絡(luò)應(yīng)用安全聯(lián)盟(英文)中找到一些跨站點(diǎn)腳本的比如。
有許多辦法能夠保證網(wǎng)絡(luò)應(yīng)用程序不被這種技能侵犯。一些簡便易行的辦法包含:
剔除能夠被插入到表單中的數(shù)據(jù)輸入
使用數(shù)據(jù)編碼,防止?jié)撛诖跻庾址闹苯又踩耄?/div>
在數(shù)據(jù)輸入和數(shù)據(jù)庫端之間創(chuàng)立一個(gè)“層”,以防止應(yīng)用程序代碼被直接植入歹意字符。
SQL植入和跨站點(diǎn)腳本只不過是黑客用來進(jìn)犯和使用無辜網(wǎng)站的多種技能中的其間兩種。作為一般的安全準(zhǔn)則,在網(wǎng)絡(luò)安全問題上特別是在使用第三方軟件時(shí),一向堅(jiān)持更新以保證您安裝了新版別的軟件是非常重要的。許多圍繞大型建站社區(qū)建設(shè)的網(wǎng)絡(luò)應(yīng)用程序都供給持續(xù)的支撐和軟件升級(jí)。
下面舉個(gè)比如,開放源碼內(nèi)容管理體系的大的四個(gè)社區(qū)——Joomla, WordPress, PHP-Nuke 和 Drupa都在他們的網(wǎng)站上供給關(guān)于網(wǎng)絡(luò)安全方面的常識(shí)并且設(shè)有大型社區(qū)驅(qū)動(dòng)論壇,用戶能夠提出問題或?qū)で笾。例如,在Hardening WordPress,WordPress供給了如何加強(qiáng)CMS安全的綜合性幫助文件。 Joomla供給了許多有關(guān)網(wǎng)絡(luò)安全的資源,特別是其間的網(wǎng)絡(luò)安全查看清單,這些操作都是網(wǎng)絡(luò)管理員應(yīng)該選用的。 |
|