網站被攻擊了 該怎麼解決防止被黑客攻擊的問題

網站安全發表於2020-04-01

從今年3月份全世界黑客攻擊網站分析局勢來看,黑客攻擊的網站中中國佔有了絕大多數。那麼作為一個公司或是開發公司,如何防止自身的網站黑客攻擊,從企業網站建設之初,就應當搞好這種安全對策,當你的網站保證以下幾個方面都做好了的話,相對性是較為安全的。下邊就由SINE安全網編為你嘮嘮如何防止網站被攻擊的安全防護乾貨經驗。

網站被攻擊了 該怎麼解決防止被黑客攻擊的問題

1、越權:

問題敘述:不一樣管理許可權帳戶中間存有越權瀏覽。

改動提議:提升使用者許可權的認證。

留意:通常根據不一樣管理許可權客戶中間連線瀏覽、cookie、改動id等。

2、密文傳送

問題敘述:系統對客戶動態口令維護不夠,網路攻擊能夠 運用攻擊專用工具,從網際網路上盜取合理合法的客戶動態口令資料資訊。

改動提議:傳輸的登陸密碼必須進行多次加密防止被破解。

留意:全部登陸密碼要資料加密。要繁雜資料加密。不能用或md5。

3、sql注入:

問題敘述:網路攻擊運用sql注入系統漏洞,能夠 獲得資料庫查詢中的多種多樣資訊內容,如:後臺管理系統的登陸密碼,進而脫取資料庫查詢中的內容(脫庫)。

改動提議:對輸入主要引數開展過濾、校檢。選用黑名單和白名單的方法。

留意:過濾、校檢要遮蓋系統軟體內全部的主要引數。

4、跨站指令碼製作攻擊:

問題敘述:對輸入資訊內容沒有開展校檢,網路攻擊能夠 根據恰當的方式引入故意命令程式碼到網頁頁面。這類程式碼一般 是JavaScript,但事實上,還可以包含Java、VBScript、ActiveX、Flash或是一般的HTML。攻擊取得成功以後,網路攻擊能夠 取得高些的管理許可權。

改動提議:對客戶輸入開展過濾、校檢。輸出開展HTML實體線編號。

留意:過濾、校檢、HTML實體線編號。要遮蓋全部主要引數。

網站被攻擊了 該怎麼解決防止被黑客攻擊的問題

5、上傳檔案系統漏洞:

問題敘述:沒有對上傳檔案限定,將會被提交可執行檔案,或指令碼檔案。進一步造成網站伺服器失陷。

改動提議:嚴苛認證檔案上傳,避擴音交asp、aspx、asa、php、jsp等風險指令碼。朋友最好是新增檔案頭認證,避免客戶提交不法文件。

6、後臺管理詳細地址洩漏

問題敘述:後臺管理詳細地址過度簡易,為網路攻擊攻擊後臺管理出示了便捷。

建議更改:要更改後臺管理的地址連結,地址名稱必須很複雜。

7、比較敏感資料洩露:

問題敘述:系統軟體曝露內部資訊內容,如:網站的絕對路徑、網頁頁面原始碼、SQL句子、分散式資料庫版本號、程式流程出現異常等資訊內容。

改動提議:對客戶輸入的出現異常空格符過濾。遮蔽掉一些不正確回顯,如自定404、403、500等。

8、指令實行系統漏洞

問題敘述:指令碼製作程式流程啟用如php的system、exec、shell_exec等。

改動提議:修復漏洞,系統對內必須實行的指令要嚴格限定。

9、檔案目錄遍歷系統漏洞

問題敘述:曝露檔案目錄資訊內容,如程式語言、網站構造

改動提議:改動有關配置,防止目錄列表顯示。

10、應用程式重放攻擊

問題敘述:反覆遞交資料檔案。

改動提議:加上token認證。時間戳或這圖形驗證碼。

網站被攻擊了 該怎麼解決防止被黑客攻擊的問題

11、CSRF(跨站請求仿冒)

問題敘述:應用早已登入客戶,在不知道的狀況下實行某類姿勢的攻擊。

改動提議:加上token認證。時間戳或這圖形驗證碼。

12、隨意檔案包含、隨意壓縮檔案下載:

問題敘述:隨意檔案包含,對系統傳到的資料夾名稱沒有有效的校檢,進而實際操作了預期以外的文件。隨意壓縮檔案下載,系統軟體出示了免費下載作用,卻未對免費下載資料夾名稱開展限定。

改動提議:對客戶遞交的資料夾名稱限定。避免故意的文件載入、免費下載。

13、設計方案缺點/邏輯錯誤:

問題敘述:程式流程根據邏輯性保持豐富多彩的作用。許多狀況,邏輯性作用存有缺點。例如,程式猿的安全觀念、考慮到的不全面等。

改動提議:提升程式流程的設計方案和判斷推理。

14、XML實體線引入:

問題敘述:當容許引入外界實體時,根據結構故意內容,可造成載入隨意文件、實行系統命令、檢測內網埠這些。

改動提議:應用程式語言出示的禁止使用外界實體方式,過濾客戶遞交的XML資料資訊。

15、檢驗存有風險性的不相干服務專案和埠號

問題敘述:檢驗存有風險性的不相干服務專案和埠號,為網路攻擊出示便捷。

改動提議:關掉沒用的服務專案和埠號,早期只開80和資料庫埠,應用的情況下對外開放20或是21埠。

16、登入作用簡訊驗證碼系統漏洞

問題敘述:持續故意反覆一個合理的資料檔案,反覆傳送給伺服器端。伺服器端未對客戶遞交的資料檔案開展合理的限定。

改動提議:簡訊驗證碼在網站伺服器後端開發更新,資料檔案遞交一次資料資訊數更新一次。

17、不安全的cookies

問題敘述:cookies中包括登入名或登陸密碼等比較敏感資訊內容。

改動提議:除掉cookies中的登入名,登陸密碼。

18、SSL3.0

問題敘述:SSL是為通訊網路出示安全及資料庫安全的一種安全協議書。SSl會爆一些系統漏洞。如:心血管留血系統漏洞等。

改動提議:升級到openssl最新版本

網站被攻擊了 該怎麼解決防止被黑客攻擊的問題

19、SSRF系統漏洞:

問題敘述:伺服器端請求仿冒。

改動提議:修復漏洞,或是解除安裝掉沒用的包

20、預設設定動態口令、弱口令

問題敘述:由於預設設定動態口令、弱口令非常容易令人猜到。

改動提議:提升動態口令抗壓強度不適合弱口令

留意:動態口令不要出現弱口令字母或者是簡單的字母。

21、其他系統漏洞

問題敘述:其他系統漏洞

改動提議:根據實際的系統漏洞實際分析並進行安全防護

講了那麼多的網站安全防護乾貨經驗,小夥伴們是不是對以後網站安全穩定執行有了把握,如果期間還是存在被黑客攻擊被入侵等的情況建議找專業的網站安全公司來處理解決,推薦SINE安全,鷹盾安全,綠盟,啟明星辰等等的專業公司來解決網站被攻擊的問題。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2683716/,如需轉載,請註明出處,否則將追究法律責任。

相關文章