网站建设过程中如何保障公司网站的安全性呢?

2022-02-17 17:36:30 浏览数 (4)

互联网企业面临的安全威胁和挑战主要有哪些?换句话说,常见的网站攻击方式有哪些?

比较常见的有:网络黑产、外部黑客、竞争对手、安全漏洞、网络攻击、数据泄露、敏感信息泄露等。

以黑客攻击为例。网站攻击的手段有很多,黑客惯用的手段有几下几种:

1.阻塞攻击

通过强占网站服务器中的存储空间资源,使网站服务器崩溃或资源耗尽,从而无法对外提供服务。这类攻击手段用的方法是拒绝服务攻击(Denial of Service,DOS),该方法是个人或多人利用网络协议组的某些工具,拒绝合法用户对目标系统或信息访问的攻击。

攻击成功后的结果是目标系统死机,端口处于停顿状态等。还可以在网站服务器中发送杂乱信息、改变文件名称、删除关键的程序文件等,进而扭曲系统的资源状态,使系统的处理速度降低。

2.文件上传漏洞攻击

网页代码中文件在上传过程中,由于上传路径变量过滤不严格,产生一些以某种形式存在的安全方面的脆弱环节,被称为网站上传漏洞。利用这个上传漏洞可以随意上传网页木马(如 ASP 木马网页),连接上传的网页就可以控制整个网站系统。

上传漏洞攻击方式对网站安全威胁极大,攻击者可以直接上传就 ASP 木马文件而得到一个 WEBSHELL,进而控制整个网站服务器。

3.跨站脚本攻击

黑客在远程站点页面 HTML 代码中插入具有恶意目的的代码,当用户下载该页面,嵌入其中的恶意脚本就被解释执行。跨站脚本攻击方式最常见的有:通过窃取 cookie、欺骗打开木马网页,或者直接在存在跨站脚本漏洞的网站中写入注入脚本代码,在网站挂上木马网页等。

4.弱密码的入侵攻击

这类攻击首先需要用扫描器探测到 SQL 账号和密码信息,进而获取预留密码,然后用 SQLEXEC 等攻击工具通过 1433 端口连接网站服务器,再开设一个系统账号,通过 3389 端口登录。

这种攻击还会配合 WEBSHELL 来使用。一般的 ASP MSSQL 网站通常会把 MSSQL 连接密码写到一个配置文件当中,可以用 WEBSHELL 读取配置文件里面的预留密码,然后上传一个 SQL 木马来获取系统的控制权限。

5.网站旁注入侵

这种技术通过 IP 绑定域名查询的功能查出服务器上有多少网站,再挑选一些防护薄弱的网站实施入侵,拿到权限之后转而控制同一服务器上的其它网站。

6.其他脚本攻击

网站服务器的漏洞主要集中在各种网页中。由于网页程序编写不严谨,因此出现了各种脚本漏洞,如动图文件上传漏洞、cookie 欺骗漏洞等都属于脚本漏洞。

除了这几种常见脚本漏洞外,还有一些专门针对某些网站程序出现的脚本程序漏洞,最常见的有用户对输入的数据过滤不严、网站源代码暴露以及远程文件包含漏洞等。

这些网站安全问题最直接的会导致用户流失、经济损失、声誉受损、公信力下降等糟糕后果。那么,该如何保障互联网公司网站的安全性呢?

仔细观察会发现,上述六种最常见的网站攻击方式中,大部分都与服务器直接相关或间接相关。因此,首先从服务器层面来说说,如何确保互联网企业网站安全。

针对服务器,存在两种情况,一种是租别人的服务器,一种是购买的大厂商的服务器(比如腾讯云)。

一、租用不知名厂商服务器的情况下,网站管理员只能在网站开发方面多下功夫

1.一般的攻击主要是针对网站数据库,所以需要在数据库连接文件中添加相应的防攻击代码。比如,在检查网站程序时打开那些含有数据库操作的 ASP 文件,这些文件是需要防护的页面。在其头部加上相关的防注入代码,最后再把它们都上传到服务器上。

2.堵住数据库下载漏洞。换句话说就是不让别人下载数据库文件,并且数据库文件的命名最好复杂并隐藏起来,让别人认不出来。

3.网站中最好不要有上传和论坛程序,因为这样极易产生上传文件漏洞以及其他网站漏洞。

4.对于后台管理程序的要求,首先不要在网页上显示后台管理程序的入口链接,防止黑客攻击。其次是用户名和密码不能过于简单,而且需要定期更换。

5.需要定期查杀网站上的木马,使用专门查杀木马的工具,或使用网站程序集成的检测工具,定期检查网站上是否存在木马。以上除了数据库文件以外,还可以把网站上的文件都改成只读的属性,防止文件被篡改。

看到这里,有人就说了,又是加代码,又是堵漏洞,还要定期更换和检查。本来建网站就已经够累了!能不能让我省点心?有没有什么一劳永逸的操作?有,就是上面介绍的第二种,购买腾讯云服务器。

二、如果是购买的腾讯云服务器,安全问题则无需担心

腾讯云服务器提供了非常全面的安全产品,基于网络安全、业务安全、身份安全、应用安全、终端安全、数据安全等产品。

比如常用的安全防护:

DDoS 防护:DDoS 防护(Anti-DDoS)具有全面、高效、专业的 DDoS 防护能力,为企业组织提供 DDoS 高防包、DDoS 高防 IP 等多种 DDoS 解决方案,应对 DDoS 攻击问题。通过充足、优质的 DDoS 防护资源,结合持续进化的“自研 AI 智能识别”清洗算法,保障用户业务的稳定、安全运行。防护场景覆盖游戏、互联网、视频、金融、政府等行业。

云防火墙:腾讯云防火墙(Cloud Firewall,CFW)是一款基于公有云环境下的 SaaS 化防火墙,主要为用户提供互联网边界的防护,解决云上访问控制的统一管理与日志审计的安全与管理需求。云防火墙不仅具备传统防火墙功能,同时也支持云上多租户、弹性扩容功能,是用户业务上云的第一个网络安全基础设施。

Web 应用防火墙:腾讯云 Web 应用防火墙(Web Application Firewall,WAF)帮助腾讯云内及云外用户应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等网站及 Web 业务安全防护问题。企业组织通过部署腾讯云网站管家服务,将 Web 攻击威胁压力转移到腾讯云网站管家防护集群节点,分钟级获取腾讯 Web 业务防护能力,为组织网站及 Web 业务安全运营保驾护航。

主机安全:主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵检测、漏洞风险预警及安全基线等安全防护服务,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。现支持用户腾讯云外服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有数据中心拥有云上同等级别的安全体验。

不管是在网站开发方面下功夫,还是花钱升级服务器,或多或少都存在一些瑕疵。前者对网站开发人员是一个不小的考验,时间上投入的也会比较多。后者会存在一笔额外的支出,对中小企业来说可能会是压力。

其实还有更简便的方法,就是直接找靠谱建站服务商搭建网站。比如,腾讯云建站。不仅不需要自己建网站,就连买服务器的钱都省了。价格也不贵,最关键的是网站很安全稳定。

https://market.cloud.tencent.com/stores/1254095353

1 人点赞