WEB安全之网站防黑策略部署防范篇.docVIP

关于网站摘要：本文涉及网站安全中的策略与思路，分别指出在网站安全中存在的问题。就问题分析如何做好网站防黑部署，仅供学习参考！ 1、FTP用户密码设置 通常网站都会有一个FTP账号连接服务器提供文件管理，往往用户不注意FTP账号和密码的安全。现在大多数网站FTP都是采用... 1、FTP用户密码设置通常网站都会有一个FTP账号连接服务器提供文件管理，往往用户不注意FTP账号和密码的安全。现在大多数网站FTP都是采用域名字段来确定用户名。如黑白前线域名是，FTP用户即hackline。这就要注意了，FTP密码不能随便设置。尽量避免弱口令、空口令设置，如空密码、账户密码相同或者123456等。尽量避免直接使用电话号码、QQ号码、生日等敏感性信息。这样以来可以杜绝大部弱口令攻击与个人信息攻击。 ?2、网站后台地址与密码设置动态交互式网站都是采用前台+后台的模式，开发人员为了方便实用通常把管理后台设置在网站首页或者使 用/admin、/admin_login、/manage等地址，如果不确定网站是否存在漏洞和漏密问题那么就修改后台登录地址为不常见的文件名。使黑客无法获取后台管理，安全自然可以得到一定的保障。注意：前台和后台设计是分离的，修改后台地址不会影响到前台显示。 黑白安全建议：一、修改后台路径为复杂地址。二、密码问题同FTP密码设置。 ?3、网站数据库连接配置（access数据库）网站开发人员为了方便通常在客户案例中的网站都采用一种连接方式，这样很泄漏网站数据库的地址。mdb数据库很容易被下载破解登录用户密码。黑白安全建议：修改默认的数据库名称,在conn.asp中修改路径。 ?4、网站文件权限设置设置网站文件权限可以有效的杜绝黑客入侵修改网站内容，通常网站黑客被入侵后会被挂马或者修改页面。现在很多有条件的服务器都部署了防篡改系统，以防止外来入侵。 安全建议：虚拟主机用户可以通过FTP工具来设置网站文件权限。一、静态网站：对于静态网站很简单设置所有文件目录为只读权限。二、动态网站：取消全站修改权限，设置数据库文件夹和文件生成目录为可读取、写入权限。三、论坛网站：取消全站修改权限，设置文件上传、data等为可读取、写入权限。 ?5、robots.txt禁止蜘蛛爬行指定目录，很多管理员认为不让搜索引擎收录到网站后台和敏感目录通过robots.txt来限制。其它这一点是错误的。即使黑客无法通过搜索引擎来查到网站敏感信息，通过访问robots.txt可以很清楚的看到敏感信息。 1. 明确区分系统中不同用户权限 2. 系统中会不会出现用户冲突 3. 系统会不会因用户的权限的改变造成混乱 4. 用户登陆密码是否是可见、可复制 5. 是否可以通过绝对途径登陆系统（拷贝用户登陆后的链接直接进入系统） 6. 用户推出系统后是否删除了所有鉴权标记，是否可以使用后退键而不通过输入口令进入系统 系统网络安全的测试要考虑问题 1. 测试采取的防护措施是否正确装配好，有关系统的补丁是否打上 2. 模拟非授权攻击，看防护系统是否坚固 3. 采用成熟的网络漏洞检查工具检查系统相关漏洞（即用最专业的黑客攻击工具攻击试一下，现在最常用的是 NBSI 系列和 IPhacker IP ） 4. 采用各种木马检查工具检查系统木马情况 5. 采用各种防外挂工具检查系统各组程序的客外挂漏洞 数据库安全考虑问题： 1. 系统数据是否机密（比如对银行系统，这一点就特别重要，一般的网站就没有太高要求） 2. 系统数据的完整性（我刚刚结束的企业实名核查服务系统中就曾存在数据的不完整，对于这个系统的功能实现有了障碍） 3. 系统数据可管理性 4. 系统数据的独立性 5. 系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整） 　因此如何保证校园资源网络以及网站本身的性能的高效与稳定．已经成为校园网站管理的核心问题．二、校园信息门户网站简介(一)基本概念校园信息门户网站是一个以网站的形式为学校教师、学生等提供其所需的全部信息和服务，是校园数字化。教育信息化的重要组成部分．党校校园信息门户网站正成为学校进行形象展示、政策法规发布、远程教育、信息查询、办公信息化、内外沟通的重要阵地。(二)校园信息门户网站一般结构从用户角度上看校园信息门户网站其实是多张网页组成的一个网站体系．它一般的结构如下图2一所示：图2?1校园信息门户整体框架从图2?1中可以看到校园信息门户与一般的网站不一样．从层次上包括数据层、数