如何评估自身网站的潜在安全风险，并采取有效措施增强网站防御能力？

如何检测自身网站存在哪些缺陷，以便增强网站的安全防护能力

在网站运营一段时间后，时常会听到某些网站遭受恶意代码植入，或是遭受黑客攻击。似乎入侵和植入恶意代码变得轻而易举。实际上，入侵并非易事，简单的是您网站的必要安全措施并未得到妥善执行。

如有条件，建议聘请专业的网站安全团队进行安全维护。

一：恶意代码防范措施：

1、建议用户通过FTP进行网页上传和维护，尽量避免安装ASP上传工具。

2、对ASP上传工具的使用必须进行身份验证，并仅允许可信人士使用，这包括新闻发布、商城及论坛程序等，所有可上传文件的ASP都需进行身份验证！

3、ASP程序管理员的用户名和密码应具备一定复杂性，避免过于简单，并注意定期更换。

4、从正规网站下载ASP程序，下载后修改数据库名称和存储路径，数据库文件名称也应具备一定复杂性。

5、尽量保持程序更新至最新版本。

6、不要在网页中添加后台管理程序的登录页面链接。

7、为防止程序存在未知漏洞，可以在维护后删除后台管理程序的登录页面，下次维护时再通过FTP上传。

8、定期备份数据库等重要文件。

9、日常加强维护，注意空间中是否有来历不明的ASP文件。记住：付出汗水，换来安全！

10、一旦发现被入侵，除非自己能识别出所有恶意代码文件，否则应删除所有文件。

11、定期对网站进行安全检测，可利用网上一些工具，如sinesafe网站恶意代码检测工具！

二：恶意代码恢复措施：

1.修改账户密码

无论是商业还是非商业网站，初始密码大多为admin。因此，接手网站程序的第一步就是“修改账户密码”。账户密码不要使用之前习惯的，要选择特别一些的。尽量使用字母、数字和符号的组合，且密码长度最好超过15位。如果使用SQL，应使用特别的账户密码，避免使用admin等常见名称，否则很容易被入侵。

2.创建robots.txt

robots.txt能够有效防止黑客利用搜索引擎窃取信息。

3.修改后台文件

第一步：修改后台中的验证文件名称。

第二步：修改conn.asp，防止非法下载，也可在修改conn.asp后对数据库进行加密。

第三步：修改ACESS数据库名称，越复杂越好，如有条件，可更换数据所在目录。

4.限制登录后台IP

此方法最为有效，每位虚拟主机用户都应该具备此功能。如果您的IP不固定，则每次维护时都需要更改IP，以确保安全。

5.自定义404页面及自定义传送ASP错误信息

404页面可以让黑客批量查找您的后台重要文件，并检查网页是否存在注入漏洞。

ASP错误信息可能会向不明来意者透露对方想要的信息。

6.慎重选择网站程序

注意网站程序是否本身存在漏洞，好坏心中应有尺度。

7.谨慎上传漏洞

据调查，上传漏洞往往是最简单也是最严重的，可以让黑客或骇客轻松控制您的网站。可以禁止上传或限制上传的文件类型。如有疑问，可咨询您的网站程序提供商。

8.cookie保护

登录时尽量避免访问其他站点，以防止cookie泄露。退出时一定要点击退出，并关闭所有浏览器。

9.目录权限

管理员应设置好重要目录的权限，防止非正常访问。例如，不要给上传目录执行脚本权限，也不要给非上传目录写入权限。

10.自我测试

如今网上黑客工具众多，不妨找一些来测试您的网站是否安全。

11.例行维护

a.定期备份数据。最好每日备份一次，下载备份文件后，应及时删除主机上的备份文件。

b.定期更改数据库名称和管理员账户密码。

c.利用WEB或FTP管理，查看所有目录体积、最后修改时间以及文件数，检查文件是否存在异常，以及查看是否有异常的账号。

网站被恶意代码植入通常是由于网站程序存在漏洞或服务器安全性能不达标，被不法黑客入侵攻击所致。

网站被恶意代码植入是普遍现象，但也是每位网站运营者的心头大患。

您是否因为网站和服务器频繁遭受入侵和恶意代码植入等问题而想过放弃？您是否因为对网站技术不太了解而耽误了网站的运营？您是否因为精心运营的网站反复遭受黑客攻击和恶意代码植入而感到困惑和无助？如有条件，建议聘请专业网站安全团队进行安全维护。

软件测试，如何检测网站的安全性呢？

用户认证安全的测试需考虑以下问题：

1.明确区分系统中不同用户权限

2.系统中是否存在用户冲突

3.系统是否因用户权限改变而造成混乱

4.用户登录密码是否可见、可**

5.是否可以通过绝对途径登录系统（**用户登录后的链接直接进入系统）

6.用户退出系统后是否删除了所有鉴权标记，是否可以使用后退键而不输入口令进入系统

系统网络安全的测试需考虑以下问题：

1.测试采取的防护措施是否正确配置，有关系统的补丁是否已安装

2.模拟非授权攻击，观察防护系统是否坚固

3.采用成熟的网络漏洞检查工具检查系统相关漏洞（即使用最专业的黑客攻击工具进行攻击测试，现在最常用的是NBSI系列和IPhacker IP）

4.采用各种木马检查工具检查系统木马情况

5.采用各种防外挂工具检查系统各组程序的客外挂漏洞

数据库安全需考虑以下问题：

1.系统数据是否机密（如银行系统，这一点尤为重要，一般网站则没有太高要求）

2.系统数据的完整性（例如，我刚刚结束的企业实名核查服务系统中就曾存在数据不完整，这对系统功能实现造成了一定障碍）

3.系统数据可管理性

4.系统数据的独立性

5.系统数据可备份和恢复能力（数据备份是否完整，是否可恢复，恢复是否完整）