网站系统安全作为企业网络安全防护的重头戏,网络管理员不可掉以轻心。企业网站作为企业的脸面,如果一旦被入侵可能会使企业受到资金损失不说,黑客通过挂马等方式威胁到了用户安全,导致企业信誉下降则是更严重的问题。
成都创新互联公司10多年企业网站设计服务;为您提供网站建设,网站制作,网页设计及高端网站定制服务,企业网站设计及推广,对成都宴会酒店设计等多个行业拥有多年的网站推广经验的网站建设公司。
据动易公司网络安全专家介绍:根据2007年OWASP 组织发布的 Web 应用程序脆弱性10大排名的统计结果表明,跨站脚本、注入漏洞、跨站请求伪造、信息泄露等方面的问题仍然是目前黑客流行的攻击方式,而其中尤以SQL注入攻击和跨站脚本攻击为重,所谓的SQL注入攻击就是利用程序员在编写代码时没有对用户输入数据的合法性进行判断,导致入侵者可以通过插入并执行恶意SQL命令,获得数据读取和修改的权限;而跨站脚本攻击则是通过在网页中加入恶意代码,当访问者浏览网页时,恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。
那么,对这种黑客攻击方式有没有有效的网站系统安全手段进行阻击呢?据悉,在SiteFactory™ 内容管理系统开发中,针对各种攻击方式都制定了相应完整的防御方案,并且借助 ASP.NET 的特性和功能,可以有效的抵制恶意用户对网站进行的攻击,提高网站的安全性,但就针对目前SQL注入攻击和跨站脚本攻击,其更加有效的阻击手段是什么呢?为此,我们向动易网络安全专家了解,他向我们介绍了一些安全手段:
(一)对于SQL注入攻击:动易系统采用对SQL查询语句中的查询参数进行过滤;使用类型安全的SQL参数化查询方式,从根本上解决SQL注入的问题;URL参数类型、数量、范围限制功能,解决恶意用户通过地址栏恶意攻击的问题等,这些手段是控制SQL注入的,还包括其它的一些过滤处理,和其它的对用户输入数据的验证来防止SQL注入攻击。
(二):对于跨站脚本攻击:在对于不支持HTML的内容直接实行编码处理的办法,来从根本上解决跨站问题。而对于支持Html的内容,我们有专门的过滤函数,会对数据进行安全处理(依据XSS攻击库的攻击实例),虽然这种方式目前是安全的,但不代表以后也一定是安全的,因为攻击手段会不断翻新,我们的过滤函数库也会不断更新。
另外对于外站访问和直接访问我们也做了判断,从一定程度上也可以避免跨站攻击。即使出现了了跨站攻击,我们也会通过网站系统安全手段将攻击的影响减到最小:
一、对于后台一些会显示HTML内容的地方,通过frame的安全属性security="restricted"来阻止脚本的运行(IE有效);
二、使用Cookie的HttpOnly属性来防止Cookie通过脚本泄密(IE6 SP1以上、Firefox 3);
三、身份验证票据都是加密过的;
四、推荐使用更高版本的IE或者FF。
本文题目:企业防护应重视网站系统安全
网站URL:http://www.shufengxianlan.com/qtweb/news46/523796.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联