重视网站系统安全，布控第二把锁

kuifang

构建安全服务器的环境，只是从外围进行阻击“黑客”的攻击，但更重要的还是要保障网站系统安全，防止黑客利用系统漏洞进行攻击，从而威胁网站安全。
　　据公司网络安全专家介绍：根据2007年OWASP组织发布的Web应用程序脆弱性服务器租用10大排名的统计结果表明，跨站脚本、注入漏洞、跨站请求伪造、信息泄露等方面的问题仍然是目前黑客流行的攻击方式，而其中尤以SQL注入攻击和跨站脚本攻击为重，所谓的SQL注入攻击就是利用程序员在编写代码时没有对用户输入数据的合法性进行判断，导致入侵者可以通过插入并执行恶意SQL命令，获得数据读取和修改的权限;而跨站脚本攻击则是通过在网页中加入恶意代码，当访问者浏览网页时，恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览，从而获得管理员权限，控制整个网站。
　　那么，对这种黑客攻击方式有没有有效的安全手段进行阻击呢？据悉，在SiteFactory？？内容管理系统开发中，针对各种攻击方式都制定了相应完整的防御方案，并且借助ASP.NET的特性和功能，可以有效的抵制恶意用户对网站进行的攻击，提高网站的安全性，但就针对目前SQL注入攻击和跨站脚本攻击，其更加有效的阻击手段是什么呢？为此，动易网络安全专家介绍了一些安全手段：
　　一、对于SQL注入攻击：动易系统采用对SQL查询语句中的查询参数进行过滤;使用类型安全的SQL参数化查询方式，从根本上解决SQL注入的问题;URL参数类型、数量、范围限制功能，解决恶意用户通过地址栏恶意攻击的问题等，这些手段是控制SQL注入的，还包括其它的一些过滤处理，和其它的对用户输入数据的验证来防止SQL注入攻击。
　　二、对于跨站脚本攻击：在对于不支持HTML的内容直接实行编码处理的办法，来从根本上解决跨站问题。而对于支持Html的内容，我们有专门的过滤函数，会对数据进行安全处理(依据XSS攻击库的攻击实例)，虽然这种方式目前是安全的，但不代表以后也一定是安全的，因为攻击手段会不断翻新，我们的过滤函数库也会不断更新。
　　另外对于外站访问和直接访问我们也做了判断，从一定程度上也可以避免跨站攻击。即使出现了了跨站攻击，我们也会将攻击的影响减到最小：1.对于后台一些会显示HTML内容的地方，通过frame的安全属性security=”restricted”来阻止脚本的运行(IE有效);2.使用Cookie的HttpOnly属性来防止Cookie通过脚本泄密(IE6SP1以上、Firefox3);3.身份验证票据都是加密过的;4.推荐使用更高版本的IE或者FF。


香港葵芳机房：www.chinahkidc.net

业务咨询：徐小姐   3273581362

咨询电话：13928444907

香港葵芳机房：品质是金，客户至上，香港葵芳机房致力于为企业提供一站式IDC服务，让您尽享我们的优质产品和优秀服务。