十堰網(wǎng)站建設(shè)中要警惕網(wǎng)站程序中的安全漏洞

時(shí)間：2010-08-10      閱讀: 次

　　為了迎合SEOer，現(xiàn)在網(wǎng)站賣(mài)黑鏈的鋪天蓋地，這些鏈接獲得的渠道多數(shù)是通過(guò)入侵網(wǎng)站，通過(guò)網(wǎng)站程序的漏洞或者服務(wù)器的漏洞獲得網(wǎng)站的修改權(quán)限，因此，對(duì)于網(wǎng)站的安全防范我們要提高警惕。一般網(wǎng)站的安全分為：服務(wù)器配置安全和腳本程序安全。這里，我們來(lái)談?wù)勱P(guān)于十堰網(wǎng)站建設(shè)中網(wǎng)站安全的程序設(shè)計(jì)原則性問(wèn)題。

　　在編寫(xiě)網(wǎng)站程序時(shí)，程序員往往會(huì)忽略程序的安全性設(shè)置，尤其是對(duì)用戶(hù)輸入信息的過(guò)濾。很容易導(dǎo)致不法分子對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法的操作、上傳木馬等。一般出現(xiàn)比較多的漏洞是：注入和跨站兩種。

　　注入漏洞是由于程序沒(méi)有對(duì)用戶(hù)的輸入數(shù)據(jù)進(jìn)行嚴(yán)格的檢查、過(guò)濾，使攻擊者可以把SQL命令插入到請(qǐng)求查詢(xún)的字符串中，根據(jù)程序返回的結(jié)果，獲得他所想得到的數(shù)據(jù)。

　　跨站漏洞是指攻擊者利用網(wǎng)站程序?qū)τ脩?hù)輸入的信息過(guò)濾不足，輸入可以顯示在頁(yè)面上對(duì)其他用戶(hù)造成影響的HTML代碼，從而盜取用戶(hù)資料、利用用戶(hù)身份進(jìn)行某種攻擊的一種方式。

　　除了以上兩種，還有越權(quán)、上傳、引擎等多種漏洞。一個(gè)站點(diǎn)程序的安全可能會(huì)導(dǎo)致整個(gè)服務(wù)器的“淪陷”，對(duì)于網(wǎng)站來(lái)說(shuō)，這關(guān)系到網(wǎng)站的信譽(yù)、用戶(hù)的隱私、網(wǎng)站的發(fā)展等問(wèn)題。

　　不要相信用戶(hù)輸入的數(shù)據(jù)

　　永遠(yuǎn)不要相信任何時(shí)候用戶(hù)所輸入的任何數(shù)據(jù)-這是編寫(xiě)安全的WEB程序的基本原則。用戶(hù)輸入的數(shù)據(jù)，在程序執(zhí)行前一定要經(jīng)過(guò)嚴(yán)格的檢查、過(guò)濾非法字符串。通過(guò)對(duì)特殊文字、編碼、字段數(shù)組每個(gè)元素以及SQL語(yǔ)句關(guān)鍵字進(jìn)行過(guò)濾，檢查各項(xiàng)輸入?yún)?shù)的長(zhǎng)度、格式數(shù)據(jù)類(lèi)型以及有效性的檢查，采取對(duì)將要入庫(kù)、顯示的內(nèi)容進(jìn)行關(guān)鍵字替換等措施來(lái)有效阻止注入攻擊和跨站攻擊。

　　輸出內(nèi)容檢測(cè)

　　對(duì)于代碼輸出的程序過(guò)程，在輸出前檢測(cè)輸出的代碼中不含有跨站攻擊的腳本。我們不信任用戶(hù)輸入的數(shù)據(jù)，程序輸出的數(shù)據(jù)我們也一樣不能完全信任。這就好比設(shè)置了一道門(mén)，不管是進(jìn)來(lái)還是出去的人，都要嚴(yán)格檢查。防止在進(jìn)入檢查的時(shí)候出現(xiàn)紕漏。

　　防止越權(quán)操作

　　凡涉及到用戶(hù)和管理員的操作，必須要嚴(yán)格檢查操作的合法性，特別是對(duì)會(huì)員自身的操作，要檢查數(shù)據(jù)是否屬于操作者的本人，是否存在越權(quán)的行為。而且在驗(yàn)證其身份的合法性時(shí)一定要引用系統(tǒng)服務(wù)端的程序。

　　上傳文件的檢查

　　所有對(duì)網(wǎng)站文件的讀寫(xiě)操作都要經(jīng)過(guò)權(quán)限的判斷、類(lèi)型檢查，杜絕用戶(hù)上傳木馬、病毒等文件或者刪除，篡改系統(tǒng)程序文件。不管是文件、文件夾的創(chuàng)建、修改還是瀏覽讀取，要進(jìn)行過(guò)濾存在安全隱患的字符，最好不要給用戶(hù)更改文件后綴名的權(quán)限。

　　信息加密

　　建立一個(gè)完善的加密體制，確保密碼和信息的安全。對(duì)于一些特殊的鏈接字符串、參數(shù)也要進(jìn)行不要的加密措施，最大限度保障系統(tǒng)信息的安全。