網(wǎng)站防護(hù)體系說明書

1、精選優(yōu)質(zhì)文檔-傾情為你奉上網(wǎng)站防護(hù)體系說明書隨著IT技術(shù)的革新，各種病毒層出不窮，服務(wù)器和網(wǎng)站受到的攻擊方式也越來越多。為了確?！癤XXX”網(wǎng)站的安全運(yùn)行，在維護(hù)時(shí)主要從網(wǎng)站源碼、防火墻設(shè)置、安全軟件等方面來加強(qiáng)網(wǎng)站的安全性和自主防御能力。一、網(wǎng)站源碼自身防御體系網(wǎng)站的防御需要從源碼開始做起，在代碼開發(fā)時(shí)，開發(fā)人員要根據(jù)常見的Web攻擊原理，在源碼中添加有針對性的防御代碼，做好網(wǎng)站防御體系的最后一道防線。（一）、SQL注入防護(hù)措施：1.對用戶的輸入進(jìn)行校驗(yàn)，可以通過正則表達(dá)式，或限制長度；對單引號和雙"-"進(jìn)行轉(zhuǎn)換等。2.盡量少使用動態(tài)拼裝sql語句，可以使用參數(shù)化的sql

2、或者直接使用存儲過程進(jìn)行數(shù)據(jù)查詢存取。3.不要直接使用管理員權(quán)限的數(shù)據(jù)庫連接，為每個(gè)應(yīng)用使用單獨(dú)的權(quán)限有限的數(shù)據(jù)庫連接。4.不要把機(jī)密信息直接存放，加密存放密碼和敏感的信息。5.應(yīng)用的異常信息應(yīng)該給出盡可能少的提示，最好使用自定義的錯誤信息對原始錯誤信息進(jìn)行包裝6.sql注入的檢測方法一般采取輔助軟件或網(wǎng)站平臺來檢測，比如MDCSOFTSCAN等。使用國產(chǎn)服務(wù)器安全軟件“服務(wù)器安全狗”可以有效的防御SQL注入。（二）、跨站腳本攻擊(XSS)防護(hù)措施：1.對信息進(jìn)行過濾和驗(yàn)證對用戶提交的數(shù)據(jù)進(jìn)行有效性驗(yàn)證，僅接受指定長度范圍內(nèi)并符合我們期望格式的的內(nèi)容提交，阻止或者忽略除此外的其他任何數(shù)據(jù)。比如

3、：電話號碼必須是數(shù)字和中劃線組成，而且要設(shè)定長度上限。過濾一些些常見的敏感字符，例如：<>“&#javascriptexpression"onclick=""onfocus"；過濾或移除特殊的Html標(biāo)簽，例如:<script>，<iframe>，&lt;for<，&gt;for>，&quotfor；過濾JavaScript事件的標(biāo)簽，例如"onclick="，"onfocus"等。當(dāng)需要將一個(gè)字符串輸出到Web網(wǎng)頁時(shí)，同時(shí)又不確定這個(gè)

4、字符串中是否包括XSS特殊字符（如<>&”等），為了確保輸出內(nèi)容的完整性和正確性，可以使用編碼（HTMLEncode）進(jìn)行處理。2.DOM型的XSS攻擊防御把變量輸出到頁面時(shí)要做好相關(guān)的編碼轉(zhuǎn)義工作，如要輸出到<script>中，可以進(jìn)行JS編碼；要輸出到HTML內(nèi)容或?qū)傩裕瑒t進(jìn)行HTML編碼處理。根據(jù)不同的語境采用不同的編碼處理方式。3.HttpOnlyCookie設(shè)置將重要的cookie標(biāo)記為httponly，這樣的話當(dāng)瀏覽器向Web服務(wù)器發(fā)起請求的時(shí)就會帶上cookie字段，但是在腳本中卻不能訪問這個(gè)cookie，這樣就避免了XSS攻擊利用JavaScri

5、pt的document.cookie獲取cookie。（三）、跨站請求偽造攻擊（CSRF)防護(hù)措施:1.多采用POST請求，增加攻擊的難度，用戶點(diǎn)擊一個(gè)鏈接就可以發(fā)起GET類型的請求。而POST請求相對比較難，攻擊者往往需要借助javascript才能實(shí)現(xiàn)。2.對請求進(jìn)行認(rèn)證，確保該請求確實(shí)是用戶本人填寫表單并提交的，而不是第三者偽造的，具體可以在會話中增加token認(rèn)證，確?？吹叫畔⒑吞峤恍畔⒌氖峭粋€(gè)人。3.加入驗(yàn)證碼，每次的用戶提交都需要用戶在表單中填寫一個(gè)圖片上的隨機(jī)字符串，這個(gè)方案可以有效解決。（四）、HttpHeads攻擊防御防護(hù)措施：避免這種攻擊的方法，就是過濾所有的respon

6、seheaders，除去header中出現(xiàn)的非法字符，尤其是CRLF。服務(wù)器一般會限制requestheaders的大小。例如Apacheserver默認(rèn)限制requestheader為8K。如果超過8K，AapcheServer將會返回400BadRequest響應(yīng)，對于大多數(shù)情況，8K是足夠大的。假設(shè)應(yīng)用程序把用戶輸入的某內(nèi)容保存在cookie中，就有可能超過8K.攻擊者把超過8k的header鏈接發(fā)給受害者，就會被服務(wù)器拒絕訪問。解決辦法就是檢查cookie的大小，限制新cookie的總大寫，減少因header過大而產(chǎn)生的拒絕訪問攻擊。（五）、Cookie攻擊防護(hù)措施：1.現(xiàn)在多數(shù)瀏覽器

7、都支持在cookie上打上HttpOnly的標(biāo)記，凡有這個(gè)標(biāo)志的cookie就無法通過JavaScript來取得，如果能在關(guān)鍵cookie上打上這個(gè)標(biāo)記，就會大大增強(qiáng)cookie的安全性。2.不要在Cookie中保存沒有經(jīng)過加密的或者容易被解密的敏感信息。3.對從客戶端取得的Cookie信息進(jìn)行嚴(yán)格校驗(yàn)。（六）、重定向攻擊防護(hù)措施：1.對重定向域名設(shè)置白名單，將合法的要重定向的url加到白名單中，非白名單上的域名重定向時(shí)拒之。2.在合法的url上加上token（認(rèn)證令牌），重定向時(shí)進(jìn)行驗(yàn)證。（七）、上傳文件攻擊防御措施：1.文件名攻擊，上傳的文件采用上傳之前的文件名，可能造成客戶端和服務(wù)端字符

8、碼不兼容，導(dǎo)致文件名亂碼問題;文件名包含腳本，從而造成攻擊。2.文件后綴攻擊，上傳的文件的后綴可能是exe可執(zhí)行程序，js腳本等文件，這些程序可能被執(zhí)行于受害者的客戶端，甚至可能執(zhí)行于服務(wù)器上。因此我們必須過濾文件名后綴，排除那些不被許可的文件名后綴。3.文件內(nèi)容攻擊，IE6有一個(gè)很嚴(yán)重的問題，它不信任服務(wù)器所發(fā)送的contenttype，而是自動根據(jù)文件內(nèi)容來識別文件的類型，并根據(jù)所識別的類型來顯示或執(zhí)行文件，如果上傳一個(gè)gif文件，在文件末尾放一段js攻擊腳本，就有可能被執(zhí)行，這種攻擊，它的文件名和contenttype看起來都是合法的gif圖片，然而其內(nèi)容卻包含腳本，這樣的攻擊無法用文件

9、名過濾來排除，而是必須掃描其文件內(nèi)容，才能識別?？膳涮讱⒍拒浖行Х烙?。二、服務(wù)器安全防護(hù)體系（一）、及時(shí)安裝系統(tǒng)補(bǔ)丁不論是Windows還是Linux，任何操作系統(tǒng)都有漏洞，及時(shí)的打上補(bǔ)丁避免漏洞被蓄意攻擊利用，是服務(wù)器安全最重要的保證之一。為了確保服務(wù)器及時(shí)更新補(bǔ)丁，每三天進(jìn)行補(bǔ)丁掃描并安裝。（二）、安裝和設(shè)置防火墻對服務(wù)器安全而言，安裝防火墻非常必要。防火墻對于非法訪問具有很好的預(yù)防作用，但是安裝了防火墻并不等于服務(wù)器安全了。在安裝防火墻之后，你需要根據(jù)自身的網(wǎng)絡(luò)環(huán)境，對防火墻進(jìn)行適當(dāng)?shù)呐渲靡赃_(dá)到最好的防護(hù)效果。（三）、關(guān)閉不需要的服務(wù)和端口服務(wù)器操作系統(tǒng)在安裝時(shí)，會啟動一些不需要的服務(wù)

10、，這樣會占用系統(tǒng)的資源，而且也會增加系統(tǒng)的安全隱患。對于一段時(shí)間內(nèi)完全不會用到的服務(wù)器，可以完全關(guān)閉。對于期間要使用的服務(wù)器，也應(yīng)該關(guān)閉不需要的服務(wù)，如Telnet等。另外，還要關(guān)掉沒有必要開的TCP端口。（四）、定期對服務(wù)器進(jìn)行備份為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作，必須對系統(tǒng)進(jìn)行安全備份。除了對全系統(tǒng)進(jìn)行每月一次的備份外，還應(yīng)對修改過的數(shù)據(jù)進(jìn)行每周一次的備份。同時(shí)，應(yīng)該將修改過的重要系統(tǒng)文件存放在不同服務(wù)器上，以便出現(xiàn)系統(tǒng)崩潰時(shí)(通常是硬盤出錯)，可以及時(shí)地將系統(tǒng)恢復(fù)到正常狀態(tài)。（五）賬號和密碼保護(hù)賬號和密碼保護(hù)可以說是服務(wù)器系統(tǒng)的第一道防線，目前網(wǎng)上大部分對服務(wù)器系統(tǒng)的攻擊都

11、是從截獲或猜測密碼開始。一旦黑客進(jìn)入了系統(tǒng)，那么前面的防衛(wèi)措施幾乎就失去了作用，所以對服務(wù)器系統(tǒng)管理員的賬號和密碼需要定期更換且保證密碼強(qiáng)度。（六）監(jiān)測系統(tǒng)日志通過運(yùn)行系統(tǒng)日志程序，系統(tǒng)會記錄下所有用戶使用系統(tǒng)的情形，包括最近登錄時(shí)間、使用的賬號、進(jìn)行的活動等。日志程序會定期生成報(bào)表，通過對報(bào)表進(jìn)行分析，你可以知道是否有異?，F(xiàn)象。三、使用第三方安全服務(wù)軟件“服務(wù)器安全狗”加強(qiáng)防護(hù)服務(wù)器安全狗是一款集服務(wù)器安全防護(hù)和安全管理為一體的綜合性服務(wù)器工具。支持Windows全系列操作系統(tǒng)（Windows2003/Windows2008/Windows位64位）、Linux操作系統(tǒng)的服務(wù)器安全防護(hù)軟件，從驅(qū)動層直接屏蔽攻擊，保護(hù)服務(wù)器安全。服務(wù)器安全狗功能涵蓋了服務(wù)器殺毒、系統(tǒng)優(yōu)化、服務(wù)器漏洞補(bǔ)丁修復(fù)、服務(wù)器程序守護(hù)、遠(yuǎn)程桌面監(jiān)控、文件目錄守護(hù)、系統(tǒng)帳號監(jiān)控、DDOS防火墻、A