如今,Web業務平台已經在電子商務、企業信息化、政府門戶網站等得到廣泛應用,很多企業都将應用架設在Web平台上,Web業務的迅速發展也引起了黑客們的強烈關注,他們将注意力從以往對傳統網絡服務器的攻擊逐步轉移到了對 Web 業務的攻擊上。黑客利用網站操作系統的漏洞和WEB服務程序的SQL注入漏洞等得到Web服務器的控制權限,輕則篡改網頁内容,重則竊取重要内部數據,更為嚴重的則是在網頁中植入惡意代碼,使得網站訪問者受到侵害。
衆所周知,TCP/IP的設計是沒有考慮安全問題的,這使得在網絡上傳輸的數據是沒有任何安全防護的。攻擊者可以利用系統漏洞造成系統進程緩沖區溢出,攻擊者可能獲得或者提升自己在有漏洞的系統上的用戶權限來運行任意程序,甚至安裝和運行惡意代碼,竊取機密數據。而應用層面的軟件在開發過程中也沒有過多考慮到安全的問題,這使得程序本身存在很多漏洞,諸如緩沖區溢出、SQL注入等等流行的應用層攻擊……這些均屬于在軟件研發過程中疏忽了對安全的考慮所緻。程序代碼中的漏洞被利用,攻擊者能夠利用它,把惡意代碼強行插入到被攻擊的網站裡。還有一種,就是跨站腳本攻擊XSS/CSS (Cross Site Script) attack。它利用網頁及cookies漏洞,攻擊者往Web頁面裡插入惡意html代碼,當用戶浏覽該頁之時,嵌入其中Web裡面的html代碼會被執行,從而達到惡意用戶的特殊目的。比如通過跨站構造一個表單,表單的内容則為利用程序的備份功能或者加管理員等功能得到一個高權限。通過這二類方法攻擊者惡意篡改首頁地址、屏蔽鎖定、IE搜索引擎被修改、強行添加非法網站地址鍊接、甚到可在用戶電腦上利植木馬、下載病毒和蠕蟲、關閉反防毒軟件程序、遠程訪問和控制用戶電腦,從而導緻用戶電腦崩潰和網絡不暢。
很多惡意攻擊者出于不良的目的對Web 服務器進行攻擊,想方設法通過各種手段獲取他人的個人賬戶信息謀取利益。正是因為這樣,Web業務平台最容易遭受攻擊。同時,對Web服務器的攻擊也可以說是形形色色、種類繁多,常見的有挂馬、SQL注入、緩沖區溢出、嗅探、利用IIS等針對Webserver漏洞進行攻擊。
Web業務平台的不安全也在很大程度上取決于内部原因,這使得站長們越來越重視系統的安全系數。而網站系統的開發人員們,也同樣越來越重視程序的安全性。我們從一開始就高度重視系統的安全性,在程序的開發中,有大量的時間投入和性能投入都是涉及網站安全的。在YD DotNetCms版中,開發團隊更是充分利用NET平台的新特性,采用了大量的新技術來保障網站安全。我們就簡單介紹一下YD DotNetCms 版在安全性方面所做的努力。
這些手段,經過長期實踐驗證,确實能夠有效提高網站的安全性,因此在YD DotNetCms 版中全部得到了保留和改進。網友可能會對MD5加密和驗證碼的作用提出質疑,因為“2004年MD5算法已經被中國科學家破譯”、“開啟了驗證碼後,網站仍然出現批量注冊的用戶和大量重複信息、廣告信息”等等。
在這裡我們稍加說明:
MD5加密算法在數據加密領域得到廣泛應用,是一種有效的保存關鍵信息的有效手段。2004年,中國科學家“破譯”了MD5算法,但這并不意味着你拿到一個經過MD5算法加密後的字符串後,能夠逆向得到加密前的字符串。而我們采用MD5保存用戶密碼等數據信息,目的隻是在于當數據庫被别人得到後,不能得到用戶的原始密碼。至于破解,即使在MD5算法沒有被“破譯”的時候,一旦得到了加密結果,理論上通過暴力破解等手段,也同樣能夠得出密碼。因此采用MD5加密存儲關鍵信息,在網站管理系統中,仍然是一個有效的安全手段。圖像驗證碼功能已經被廣泛應用于網站的注冊、登錄、信息發表等需要防止暴力破解的地方。而且也确實是一個有效的防暴力破解手段(防垃圾信息和重複信息,依靠驗證碼是不可能徹底杜絕的)。動易首創的後台登錄認證碼手段,在确保服務器安全的前提下,徹底斷絕了通過盜取管理員密碼進入後台的途徑。和其它安全措施相結合,能夠非常有效地保護網站後台的權限不被非法利用。
微軟的ASP.NET 2.0平台和SQL Server 2005針對安全威脅,提供了大量的新特性。而YD DotNetCms充分利用了這些新特性,為提高網站的安全系數,采用了大量的手段和措施:
有興趣的網友可以通過搜索上面列表中的關鍵詞來了解更多相關的信息。我們這裡就隻做一下簡單的介紹:首先是多層結構開發,這個在以往的快報中已經介紹過了。為什麼采用多層結構能夠提高安全性呢?簡單來說,網站的訪問者在訪問網站時,僅僅是與表現層交互,而表現層的界面呈現,是由業務邏輯層來完成,業務邏輯層和數據層之間,使用各種實體來進行數據的交流。隻有數據層才直接對數據庫進行操作。通過表現層提交的各種表單,首先要經過動易系統的過濾,成為業務層可用的參數。而這些參數又要轉換成各個實體的屬性,數據層還要将這些實體和屬性轉換成查詢參數後,才用與數據查詢。這樣就最大程度地防止了SQL注入類的攻擊(。NET環境下的各種編程語言都要求強類型變量,也就意味者像整數型的查詢參數,如果傳送一個非整數型的參數,是絕對不能通過的)。而在YD DotNetCms 的數據層,完全采用帶有參數的結構化查詢,從根本上解決了SQL注入問題。
其次,ASP.NET的表單處理方式,在服務器端編程絕大部分時候采用的是讀取服務器控件屬性而非GET方式提交的表單值(提取過程是由。NET來轉換實現),使得僞造表單數據攻擊比ASP環境下要困難得多。YD DotNetCms 在ASP.NET自身提供的強大驗證控件的基礎上加以繼承和發展,開發出了更多、更強大的驗證控件。可以在客戶端、服務器端對表單提交的數據合法性進行更嚴格的驗證。
另外,除了禁止直接輸入地址訪問關鍵頁面外,YD DotNetCms 還對URL參數的類型、範圍等做出了嚴格限制和過濾,更基于ASP.NET的HttpModule,整體限制對指定範圍内的路徑進行直接訪問和外部鍊接,有效防範跨站腳本攻擊。結合超前強大的權限分配和IP限制,站長完全可以确保非指定人員絕對不能越權訪問後台相關功能。
除了這些以外,我們還在一下方面做出了努力,取得階段性成果:
安全防範是一個複雜的、涉及面極廣的負責工程,在這裡也隻能是簡單概述,但是可以明确的是:YD DotNetCms是一個在安全方面空前強大的系統。
YD DotNetCMS
此外,對于Web安全和防止網頁篡改,還需要對于系統漏洞和應用程序漏洞有深刻認識,基于系統和應用程序來做專門的Web服務和網頁防範措施及工具。總結了以下六條幫助應對Web安全威脅:(1)找出系統的安全漏洞,及時升級最新補丁;(2)對動态網頁實施的保護,在保護靜态網頁的同時保護網站腳本和後端數據庫;确認腳本許可隻賦予僅僅包含存在問題腳本的獨立目錄;(3)網頁文件保護策略, 網頁寫保護,主動防禦惡意代碼,防跨站攻擊,高效URL過濾技術(防止SQL注入),優化Web性能和安全加固,雙機熱備;(4)鎖定文件、目錄和其他系統資源,設置Web服務器或守護進程運行最低數量的優先權,使應用程序使用最少的特權運行,不信任來自用戶甚至數據庫的任何信息有助于防止腳本利用,每當您從不可信的源獲得信息時,都要确保它不包含任何可執行代碼方可進行處理;(5)使用網頁防篡改和恢複軟件;(6)做好服務器應用程序本身安全防護,避免漏洞;删除不需要的應用程序。
針對Web應用的安全産品,可以分為網絡、Web服務器自身以及程序安全三方面。在網絡方面,可以考慮将防火牆、IDS/IPS、安全網關、防病毒牆、網站保護牆等産品部署在Web服務器前面,這樣可以防禦大部分的攻擊。此外,可以通過部署更安全的Web服務器、Web服務器自身的保護系統,比如網頁防篡改保護系統(防篡改保護和恢複軟件)、惡意主動防禦系統、訪問控制系統、審計系統等産品,做到自動掃描和監控,從而保護系統和文件。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
