网站安全公司主管 跟大家聊聊网站安全防护问题-阿里云开发者社区

开发者社区> 网站安全> 正文

网站安全公司主管 跟大家聊聊网站安全防护问题

简介:
+关注继续查看

在众多网站上线后出现的安全漏洞问题非常明显,作为网站安全公司的主管我想给大家分享下在日常网站维护中碰到的一些防护黑客攻击的建议,希望大家的网站都能正常稳定运行免遭黑客攻击。

_yougemeigong_SmartPicture_20200326_654

1.对上传文件的目录设定为脚本不能执行的权限

要是Web服务器没法解析该文件目录下的脚本文档,即便黑客攻击发送了脚本制作文档,网站服务器自身也不容易受到损害。许多商业网站的发送运用,上传文件之后放进单独的储存上,做静态数据文档解决,一方面使用缓存文件加快,减少服务器硬件耗损;另一方面也避免了脚本木马实行的可能。

2分辨扩展名,对发送的扩展名进行辨别

分辨扩展名时,结合使用MIMEType措施,文件后缀名查验等措施。在扩展名查验中,极力推荐使用白名单机制,而并不是使用黑名单的措施。除此之外针对上传照片的解决,使用缩小函数或是resize涵数,在处理照片的同时也将毁坏照片中将会包括的HTML编码。
_yougemeigong_SmartPicture_20200326_571

3.对发送路径独立设定网站域名去访问

因为网站服务器都在同一服务器上,而且域名都不相同,一系列客户端攻击将无效,例如发送了包含JS代码的XSS跨站脚本指令攻击实行等问题将得到解决。是否可以这样设置,必须看实际的业务流程的具体环境。此外,上传文件作用,也要充分考虑病毒感染,木马病毒,SE图片视频,违规文档等与实际网络安全防护结合更密不可分的难题,则必须做的工作中就大量了。持续的发觉难题,结合业务流程要求,才可以设计构思出有效的,最安全性的上传作用。

SQL注入的防御

解决构思:

-寻找全部的SQL注入系统漏洞语句

-修复这种系统漏洞

_yougemeigong_SmartPicture_20200326_259

1.使用预编查询语句

防护SQL注入攻击的最好措施,就是使用预编译查询语句,关连变量,然后对变量进行类型定义,比如对某函数进行数字类型定义只能输入数字。

2.使用存储过程

实际效果与预编语句相近,差别取决于存储过程必须先将SQL语句界定在数据库查询中。也肯定存在注入难题,防止在存储过程中,使用动态性的SQL语句。

3.查验基本数据类型

4.使用安全性函数

各种各样Web代码都保持了一些编号函数,能够协助抵抗SQL注入。

5.其他建议
_yougemeigong_SmartPicture_20200326_114

数据库查询本身视角而言,应当使用最少管理权限标准,防止Web运用立即使用root,dbowner等高线管理权限帐户直接连接数据库查询。为每一运用独立分派不一样的帐户。Web运用使用的数据库查询帐户,不应当有建立自定函数和实际操作本地文档的管理权限,说了那么多可能大家对程序代码不熟悉,那么建议大家可以咨询专业的网站安全公司去帮你做好网站安全防护,推荐SINE安全,鹰盾安全,山石科技,启明星辰等等公司都是很不错的。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
javaweb网站安全问题web网站安全问题防范安全部署tomcat方法
Apache tomcat是JAVA开发,JSP运行首选的web环境,国内很多网站,以及平台都在使用tomcat 环境来运行网站,高效,稳定,安全,赢得了国内许多客户。
1636 0
如果网络是一个战场,人工智能如何帮助我们建立安全防线
本月,天池和阿里云安全合作举办的第二届阿里云安全算法挑战赛落下帷幕,近2000名安全算法人的正义梦想,也从这里刚刚起航。 在网络为中心的世界中,人工智能和机器学习的技术,开始与“威胁论”挂上了钩。但技术本无善恶,往往取决于使用技术的人。
1959 0
网站安全之逻辑漏洞检测 修复方案
网站安全是整个网站运营中最重要的一部分,网站没有了安全,那用户的隐私如何保障,在网站中进行的任何交易,支付,用户的注册信息都就没有了安全保障,所以网站安全做好了,才能更好的去运营一个网站,我们SINE安全在对客户进行网站安全部署与检测的同时,发现网站的业务逻辑漏洞很多,尤其暴利破解漏洞。
14 0
湖盟云防火墙再出奇招 保网络安全不失
本文讲的是湖盟云防火墙再出奇招 保网络安全不失,2012年10月中旬,在CNNIC和CNVD的数据中显示,中国互联网安全受到了极大的威胁,新一波病毒、木马高峰期马上要来临。而此时,一大批个人网站和企业网站还没有做任何的保护措施,这很容易导致网络大面积的被劫持或瘫痪。
1455 0
网站安全问题针对一句话木马函数的普析与防范
本文内容转载于Sinesafe网站安全服务http://www.sinesafe.com/article/20180608/244.html PHP网站安全防一句话木马入侵 一、首先是菜刀一句话木马:     菜刀一句话木马的原理是调用了PHP的代码执行函数,比如以下1和2两个常见的一句话菜刀马,就是调用了eval函数、assert函数。
1958 0
+关注
网站安全
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com
400
文章
184
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载