如何检测个人网站存在哪些隐患,以增强网站的安全防护
运营网站一段时间后,总会听闻某某网站遭受恶意攻击,某某网站遭受黑客入侵。似乎入侵和挂马变得易如反掌。实则不然,入侵并非易事,简单的是你的网站并未采取必要的安全防护措施。
若条件允许,建议聘请专业从事网站安全维护的团队进行安全防护。
一:防范挂马措施:
1、建议用户通过FTP上传、维护网页,尽量避免安装ASP上传程序。
2、对ASP上传程序的调用必须进行身份验证,仅允许可信人士使用上传程序。这包括各种新闻发布、商城及论坛程序,任何可以上传文件的ASP程序都需进行身份验证!
3、ASP程序管理员的用户名和密码应具备一定复杂性,不宜过于简单,并注意定期更换。
4、从正规网站下载ASP程序,下载后修改数据库名称和存放路径,数据库文件名称也应具备一定复杂性。
5、尽量保持程序为最新版本。
6、不要在网页中添加后台管理程序登录页面的链接。
7、为防止程序存在未知漏洞,维护后可删除后台管理程序的登录页面,下次维护时再通过FTP上传。
8、定期备份数据库等重要文件。
9、日常维护,注意空间中是否有来历不明的ASP文件。记住:安全源于细节!
10、一旦发现被入侵,除非自己能识别出所有木马文件,否则删除所有文件。
11、定期对网站进行安全检测,可利用网上一些工具,如sinesafe网站挂马检测工具!
二:挂马修复措施:
1.修改账号密码
无论是商业还是非商业网站,初始密码多半是admin。因此,接到网站程序后首先要做的是“修改账号密码”。账号密码尽量不使用常见的,选择一些特殊的组合。密码最好超过15位。若使用SQL,则应使用特别的账号密码,避免使用常见的admin等,否则容易被入侵。
2.创建robots.txt
robots能够有效防止黑客利用搜索引擎窃取信息。
3.修改后台文件
第一步:修改后台中的验证文件名称。
第二步:修改conn.asp,防止非法下载,也可对数据库加密后再修改conn.asp。
第三步:修改ACESS数据库名称,越复杂越好,如有可能,更换数据所在目录。
4.限制登录后台IP
此方法最为有效,每位虚拟主机用户都应该具备此功能。若IP不固定,则需每次修改,以确保安全。
5.自定义404页面及自定义传送ASP错误信息
404页面可让黑客批量查找后台重要文件及检查网页是否存在注入漏洞。
ASP错误信息可能会向不明来意者传递对方想要的信息。
6.慎重选择网站程序
注意网站程序是否本身存在漏洞,心中有数。
7.谨慎上传漏洞
据调查,上传漏洞往往是最简单也是最严重的,容易让黑客或骇客轻松控制你的网站。可以禁止上传或限制上传的文件类型。如不懂,可寻求网站程序提供商的帮助。
8.cookie保护
登录时尽量不要访问其他站点,以防cookie泄露。切记退出时要点退出,并关闭所有浏览器。
9.目录权限
管理员需设置好重要目录的权限,防止非正常访问。如不要给上传目录执行脚本权限,不要给非上传目录写入权限。
10.自我测试
如今网上黑客工具众多,不妨找一些来测试你的网站是否安全。
11.例行维护
a.定期备份数据。最好每日备份一次,下载备份文件后应及时删除主机上的备份文件。
b.定期更改数据库名称及管理员账号密码。
c.通过WEB或FTP管理,查看所有目录体积、最后修改时间及文件数,检查文件是否有异常,以及查看是否有异常的账号。
网站被挂马一般是因为网站程序存在漏洞或服务器安全性能不达标,导致被不法黑客入侵攻击而挂马。
网站被挂马是普遍现象,但也是每位网站运营者的心头之患。
你是否因为网站和服务器经常遭受入侵挂马等问题而想放弃呢?你是否因为不太了解网站技术问题而耽误了网站运营?你是否因为精心运营的网站反复遭受黑客入侵挂马而感到迷茫和无助?有条件建议找专业从事网站安全的团队进行安全维护。
软件测试,如何检测网站的安全性呢?
用户认证安全的测试需考虑以下问题:
1.明确区分系统中不同用户权限
2.系统中是否会出现用户冲突
3.系统是否会因用户权限改变而造成混乱
4.用户登录密码是否可见、可**
5.是否可以通过绝对途径登录系统(**用户登录后的链接直接进入系统)
6.用户退出系统后是否删除了所有鉴权标记,是否可以使用后退键而不通过输入口令进入系统
系统网络安全的测试需考虑以下问题:
1.测试采取的防护措施是否正确配置,系统补丁是否已打上
2.模拟非授权攻击,看防护系统是否坚固
3.采用成熟的网络漏洞检查工具检查系统相关漏洞(即用最专业的黑客攻击工具攻击试一下,现在最常用的是NBSI系列和IPhacker IP)
4.采用各种木马检查工具检查系统木马情况
5.采用各种防外挂工具检查系统各组程序的客外挂漏洞
数据库安全需考虑以下问题:
1.系统数据是否机密(如银行系统,这一点尤为重要,一般网站就没有太高要求)
2.系统数据的完整性(例如,我刚刚结束的企业实名核查服务系统中就曾存在数据不完整,这给系统功能实现带来了障碍)
3.系统数据可管理性
4.系统数据独立性
5.系统数据可备份和恢复能力(数据备份是否完整,是否可恢复,恢复是否可完整)
