新闻中心

网站运营：网站漏洞和解决方案介绍

作者 / 无忧主机时间 2014-12-19 17:26:36

大家在运营网站的时候都会把网站挂在百度站长工具，360安全平台等上面进行检测，是不是得登陆平台检查一下网站在php空间中是否安全，网站是否存在漏洞等等问题，省去了自己去检查时间和心里，没有检测出还没有什么大碍，一旦互联网提供的工具检查出来了些什么，心里就跟一盆凉水从头上浇下，就和雪碧广告词一样：透心凉，心飞扬。那么检测出来了问题，我们需要做什么，有没有准确一点的解决方案呢？解决方案当然是有的，只是知识点太多，需要整理的方法和方案也相对较多，如果你爱收集也是可以自己整理一套出来的；下面无忧小编就花了点时间整理了一些网站运营时常遇到的问题和解决方案，希望对大家有所帮助！在下面的解决方案中有关于：SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在目录浏览漏洞、网站存在phpinfo文件、网站存在日志信息文件、网站存在JSP示例文件、页面上存在数据库信息、页面上存在网站程序的调试信息、网站存在后台登录地址等等： 站长工具检测出网站存在SQL注入漏洞问题的解决方案： 首先要知道，解决SQL注入漏洞的关键是对所有来自用户输入的数据进行严格检查、对数据库配置使用最小权限原则；所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。那么我们需要做到有以下几点： 1．对进入数据库的特殊字符（'"\<>&*;等）进行转义处理，或编码转换。 2．确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须对应为int型。 3．数据长度应该严格规定，能在一定程度上防止比较长的SQL注入语句无法正确执行。 4．网站每个数据层的编码统一，建议全部使用UTF-8编码，上下层编码不一致有可能导致一些过滤模型被绕过。 5．严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。 6．避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。 7．在网站发布之前，建议在本地使用一些专业的SQL注入检测工具进行检测，及时修补这些SQL注入漏洞。 关于站长工具检测出的XSS跨站脚本漏洞问题： 尝试过滤参数，对用户输出进行转义或者过滤。一般<>/\^"'这些如果不需要都过滤一遍，其对应的转义也记得过滤一下，安全性就会提高，那么我该怎么操作呢？ 1．假定所有输入都是可疑的，必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口，也包括HTTP请求中的Cookie中的变量，HTTP请求头部中的变量等。 2．不要仅仅验证数据的类型，还要验证其格式、长度、范围和内容。 3．不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务端进行。 4．对输出的数据也要检查，数据库里的值有可能会在一个大网站的多处都有输出，即使在输入做了编码等操作，在各处的输出点时也要进行安全检查。 5．在网站发布之前，建议让测试人员多检测几遍，尽量排除避免所有已知的威胁。 关于提示页面存在源代码泄露问题： 解决方法如下： 1. 确定好虚拟主机空间语言解析（支持的编程语言类型），防止解析失败而导致源码泄露。 2. 关闭网站错误调试机制，让报错提示全部显示白屏不显示，防止因为报错而导致源码泄露。 关于网站存在备份文件问题：如果网站备份文件在网站根目录下面，可以直接下载的话，那么就一定要删除备份文件，或者将这类文件从网站根目录目录下移走。目的是为了避免给别人直接下载的机会，从而泄露数据。 关于网站存在目录浏览漏洞问题：关闭Web容器（如IIS/Apache等）的目录浏览功能，PHP空间想实现这个功能都需要FTP账号，FTP密码和IP地址才能实现，当然，站长工具有这个提示没关系，因为你自己是可以目录浏览，无忧小编提醒大家要保管好各自的虚拟主机信息。 关于网站存在phpinfo文件（探针文件）：删除检测出的PHPinfo文件，或者探针文件。检测完无忧主机PHP空间的性能之后，记得把该文件删除。附无忧主机PHP探针。 关于网站存在网站日志信息文件：假若网站日志信息文件在网站根目录，那么可以删除检测出的日志信息文件。因为网站日志文件记录着你网站一天的实时数据，哪个IP地址访问你的网站，通过什么协议在哪个时间通过什么方式访问了哪个页面信息等，请点击如何看懂网站日志（APACHE日志）。 关于网站存在JSP示例文件：很多站长喜欢测试新功能，却忘记删除JSP示例测试文件，如果示例文件内里面含有很多你不知道的内容，有程序后门存在，存在漏洞不就是一颗定时炸弹吗，不是非常重要就删除吧。 关于页面上存在数据库信息：关闭数据库的错误调试机制，防止因为SQL语句错误导致数据库报错信息显示到页面上。无忧小编就喜欢Discuz程序，他会提示数据库错误，然后就是错误代码。 关于页面上存在网站程序的调试信息：关闭网站程序的调试机制，这个机制经常被用于网站的测试调试，该机制能显示出很详细的网站报错信息，程序技术员就是平时就是通过这种网站报错信息来修改维护网站的，一旦调试完成，请关闭程序调试机制。 关于网站存在后台登录地址： 1.将后台登录地址隐藏的深一点，改个不容易猜到的路径，特别是很多开源程序的后台地址都是默认设定的，为了安全一定要改！ 2.配置好后台登录地址的访问权限，比如只允许某个IP或IP段的用户访问。网站存在敏感目录：这些目录经常用于存放敏感的文件，可以考虑从网站目录中分离出，或改个不易猜测到的路径。