久久人人爽人人爽人人片av高
<track id="rdsvl"><div id="rdsvl"></div></track>
<tbody id="rdsvl"><nobr id="rdsvl"><td id="rdsvl"></td></nobr></tbody>

  • <track id="rdsvl"><div id="rdsvl"><td id="rdsvl"></td></div></track>

    <track id="rdsvl"></track>
      <track id="rdsvl"><span id="rdsvl"></span></track>
      您當前位置:新疆網站建設-新疆網站制作-新疆二域設計 >幫助中心 >推廣運營 >瀏覽文章

      網站建設的安全問題分析

      作者:未知  來源:互聯網  發布時間:2015/12/15 23:16:41

          新疆二域設計提醒客戶在建設網站和使用網站一定要注意考慮網站的安全性的問題。

          網站的安全主要包括物理的安全和網站運行支撐軟件本身的安全。

          物理安全是指系統機器及其外設不遭受各種物理破壞,如被盜、遭火災、水災等;支撐軟件本身的安全是指網絡操作系統、web服務器系統及數據庫系統本身的安全,此類安全用戶是無能為力的,只有及時安裝廠家發布的安全補丁程序。

          其二,對于網站程序自身的安全,應該從以下幾個方面考慮。


          (1)不信任原則

          對網站程序來講,訪問網站的用戶都是不被信任的,他們當中就隱藏著攻擊者。所有用戶的輸入都應該檢查。合法的輸入才可以進入流程,這樣就可以最大限度的保證程序的安全。


          (2)輸入檢查原則

          從目前的網站程序來看,用戶的輸入分為文本型和二進制型。對于文本型輸入,如果要進行檢查,就得根據字段本身的性質進行,如郵編必須限制為六位數字,身份證號碼必須符合身份證號碼的編碼規則等。

          需要說明的是,為了進一步提高網站的安全性,應該采用前后數據檢查相結合的方法來完成程序對輸入數據的檢查,避免用以前采用的只在前臺通過客戶端腳本完成數據檢查的做法,因為原來的做法攻擊者和容易繞過檢查程序 ,如SQL注入攻擊等。


          (3)用戶最小權限原則

          訪問網站的用戶有什么樣的權限,要根據網站的性質和需要客戶做什么來決定,但是有一個基本的原則,就是服務器的安全性。對于訪問網站的用戶,盡量規范他們可以輸入的內容,限制并過濾輸入的非法信息,尤其是要嚴禁上傳非法文件。


          (4)程序運行最小權限原則

          網頁有靜態與動態之分,對于沒有服務器端程序的頁面應該保存為靜態頁面,這樣可以減少程序的執行時間,有利于提高服務器效率。同時可以保證程序的安全性。

          網站程序跟服務器應當盡可能的減少耦合,杜絕網站中使用絕對路勁等情況。另外,對于目錄的權限也應該做出規定,比如存放上傳文件的目錄,在絕大多數情況下式不應該有執行權限的。


          (5)組件安全性原則

          要使用網站功能強大,必然要使用組件,組件在帶來強大的功能的同時也帶來了安全隱患。對于內置組件的使用,應當有明確的使用范圍;對于自己注冊的組件,必須認真考慮組件的效率和是否有溢出漏洞。


          (6)程序錯誤處理原則

          從嚴格意義上講,測試是不可能發現所有問題的。在設計階段,出錯設計就是保證程序安全性的一個重要環節。如果一個程序能處理所有錯誤,那么它就有非常高的安全性。


          在技術層面如何提高網站的安全性?


          使用安全的數據庫技術

          目前主流的數據庫技術包括 MS SQL Server, Oracle, IBM DB2, MySQL, PostgreSQL,其中 MySQL 和 PostgreSQL 屬于開源數據庫,其它三種數據庫根據不同許可方式有不同的價格??紤]到安全,它們都是非常安全的數據庫技術,需要注意的是,我們并不建議采用 Access,首先 Access 是一種桌面數據庫,并不適合可能面臨海量訪問的企業網站,其次,Access 是一種非常不安全的網站數據庫,如果您的 Access 數據庫文件的路徑被獲取,人們很容易將這個數據庫文件下載下來并看到數據庫內的一切內容,包括需要授權才能看到的內容。如果您選擇 Access 的原因是因為它免費,您需要知道 MSDE 也是免費的。 


          用戶密碼或其它機密數據必須用成熟加密技術加密后再存放到數據庫

        使用明文在數據庫中存儲用戶密碼,信用卡號等數據是非常危險的,即使您使用的是非常安全的數據庫技術,仍然要非常謹慎,任何機密數據都應該加密存儲,這樣即使您的數據庫被攻破,那些重要的機密數據仍然是安全的。我們使用MD5、DES等較為成熟的數據加密技術來對密碼、信用卡賬號等涉及私人信息的數據進行合理加密。 


          密碼或其它機密數據必須用成熟加密技術加密后才能通過表單傳遞 

        如果您的網站沒有使用 HTTPS 加密技術,那您的網站服務器和訪問客戶之間的所有數據都是以明文傳輸的,這些數據很容易在交換機和路由器節點的位置被截獲,如果您無法部署 HTTPS,將所有機密數據加密后再通過網絡傳播是非常有效的辦法 


          密碼或其它機密數據必須用成熟加密技術加密后才能寫入 Cookie 

          很多網站將用戶帳戶信息寫到 Cookie 中,以便用戶下次訪問時可以直接登陸。如果用戶帳戶信息未經加密直接寫到 Cookie 中,這些數據很容易通過查看 Cookie 文件獲得,尤其當您的用戶是和別人共用電腦的時候。 


          防止SQL注入

          我們存儲過程來而不是sql語句拼接來相應用戶的查詢,存儲過程將每個輸入的參數認作字符串來進行傳遞,另外我們在頁面中將一些危險字符過濾掉,有效的避免sql注入的危害。 


          防止JavaScript注入 

          如果網站中存在用戶的提交文字輸入的功能,則很網站很可能收到JavaScript注入的風險,即用戶如果沒有提交正確的文字內容而提交了一段JavaScript代碼進入數據庫,當頁面再次顯示用戶提交的這些內容時,這些代碼很可能會產生危機瀏覽用戶的惡意程序。我們在檢測用戶的文字內容提交的時候將會檢測JavaScript代碼的必備字段從而將其過濾,對于危險字符也會將其替換或者過濾。 


          對于不恰當言論的處理 

          如果用戶的輸入中存在有關政治方面的不恰當言論,那么將會給其他瀏覽者帶來誤導對網站產生很大影響。然而在用戶提交這些言論時檢測其中的詞語,如果發現這些不恰當言論則不予以提交或者用符號代替,能有效得避免這種危害。我們在防著這種危害上面可以由管理員自行設置這些被禁掉的詞語。 


          網站必須有安全備份和恢復機制 

        任何網站都可能發生硬件或軟件災難,導致您的網站丟失數據,您必須根據您網站的規模和更新周期,定期對網站進行安全備份,在災難性事故發生以后,您的備份恢復機制需要在很短的時間內將整個網站恢復。需要注意的是,您一定要對您的備份恢復機制進行測試,保證您的備份數據是正確的。 


          網站的錯誤信息必須經過處理后再輸出 

        錯誤消息常常包含非??膳碌募夹g細節,幫助黑客攻破您的網站,您應當對網站底層程序的錯誤消息進行處理,防止那些調試信息,技術細節暴露給普通訪問者。


      關鍵字:
      上一篇: 網站建設在企業品牌營銷中的作用
      下一篇:網站有流量沒有訂單的原因
      0
      版權所有 新疆二域信息技術有限公司 All Rights Reserved 地址:新疆烏魯木齊市昆侖東路208號 新ICP備14003571號-6 新公網安備 65010402000050號
      久久人人爽人人爽人人片av高,国产精品永久免费,亚洲成aⅴ人片久青草影院,91精品手机国产在线丝袜免费
      <track id="rdsvl"><div id="rdsvl"></div></track>
      <tbody id="rdsvl"><nobr id="rdsvl"><td id="rdsvl"></td></nobr></tbody>

    1. <track id="rdsvl"><div id="rdsvl"><td id="rdsvl"></td></div></track>

      <track id="rdsvl"></track>
        <track id="rdsvl"><span id="rdsvl"></span></track>