网站技术解决方案.docxVIP

网站技术解决方案 1、 服务器：自建服务器，自行接入电信或者网通线路连接到 internet，自行配置服务器硬件 及交换机、路由器、防火墙。 2、 操作系统：WINDOWS 操作系统，版本根据需要及系统的性质选择。 3、 网站数据库：网站若不是很大，则选用ACCESS 数据库。大型网站则用用SQLSERVER 数据库，SQL Server 2005 是一个全面的数据库平台，更安全可靠。 4、 网站安全性：网站随着业务更新、web 应用软件、以及操作系统漏洞的不断增加，会不 时的带来新的隐患，需要定期对 web 服务器作深度的安全检测，即渗透测试。 漏洞名称： SQL注入漏洞： 经常使用的方案有： 1. 所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不 是将用户输入变量嵌入到 SQL 语句中。当前几乎所有的数据库系统都提供了参数化 SQL 语句执行接口，使用此接口可以非常有效的防止SQL 注入攻击。 2. 对进入数据库的特殊字符（\*;等）进行转义处理，或编码转换。 3. 确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须 对应为 int 型。 4. 数据长度应该严格规定，能在一定程度上防止比较长的 SQL 注入语句无法正确执 行。 5. 网站每个数据层的编码统一，建议全部使用 UTF-8 编码，上下层编码不一致有可能 导致一些过滤模型被绕过。 6. 严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权 限，从而最大限度的减少注入攻击对数据库的危害。 7. 避免网站显示 SQL 错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些 错误信息进行一些判断。 8. 在网站发布之前建议使用一些专业的 SQL 注入检测工具进行检测，及时修补这些 SQL 注入漏洞。 挂马攻击： 常见的几种类型如下： 1. 数据库挂马：攻击者利用 SQL 注入漏洞将挂马代码注入到数据库的某些字段中，如 果网站页面使用到这些字段的值，并且没做适当的过滤，就有可能导致用户访问该 网站的页面时执行攻击者注入的代码。 2. 文件挂马：攻击者直接将挂马代码批量写入服务端文件里以达到整站挂马的目的。 3. arp 挂马：在与目标站点同一局域网的情况下， 攻击者可以通过控制局域网中任 意一台主机计算机发起 ARP 欺骗，并将挂马代码注入到用户请求的响应页面上，从 而达到隐蔽的挂马目的。 这样的攻击方式在客户端上也可能发生，比如用户所在 的局域网有 ARP 病毒，那么用户请求的所有网站都有可能被注入挂马代码。 4. 服务端配置文件挂马：比如 IIS 里的文件重定向、启用文档页脚、修改 IIS 映射等 挂马。这类挂马比较隐蔽，也是挂马常用的技巧。 5. XSS 挂马：利用XSS 跨站脚本漏洞，将挂马代码注入到客户端页面以达到挂马的目 的。 解决方案： a) 数据库挂马：及时恢复数据库或者利用嵌入的挂马代码，搜索数据库，定位到挂马 代码所在的字段值并清除。 b) 文件挂马：使用工具或者命令遍历网站所有文本文件，批量清除挂马代码。 c) ARP挂马：查找出局域网中的 ARP病毒源头，清除病毒，并将相应计算机进行安全 加固或重新安装系统。 d) 服务端配置文件挂马：如果上述的方法找不到挂马代码时，就应该查找网站服务端 配置文件是否存在异常，并恢复。 e) XSS挂马：这类挂马使用不广泛，修补网站的XSS漏洞即可解决问题。 及时检测并修补网站本身以及网站所在服务端环境的各类漏洞，从而在根源上降低消除网站 被挂马的风险。 跨站脚本攻击 常用的防止XSS技术包括： 1. 与 SQL 注入防护的建议一样，假定所有输入都是可疑的，必须对所有输入中的 script、iframe 等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互 的输入接口，也包括HTTP请求中的 Cookie中的变量，HTTP请求头部中的变量等。 2. 不仅要验证数据的类型，还要验证其格式、长度、范围和内容。 3. 不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务端进行。 4. 对输出的数据也要检查，数据库里的值有可能会在一个大网站的多处都有输出，即 使在输入做了编码等操作，在各处的输出点时也要进行安全检查。 5. 在发布应用程序之前测试所有已知的威胁。 敏感信息：企业需要非常重视信息安全保密工作，敏感信息的泄漏有可能对企业造成 沉重的打击，甚至会违反相关的法律规定。很多网站在上传文件的时候往往没有注意到敏感 信息泄漏的问题，需要引起高度重视。 解决方案： 确认网站上的文档是否符合公司的安全策略，是否对公司规定的信息安全等级相对应。 确认网站上的文档确实是可以访问和阅读的。 使用安全删除软件将包含敏感信息的文档删除。如果攻击者进入了服务器，