保护网站安全要上心

皆大欢喜 · 发表于 2010-12-1 09:04:00

无论是什么类型的网站服务器，除了依赖于局域网共有的防火墙软件和防病毒软件保护外，还要做好自身的一些安全防范措施：

　　1、使用复杂账号

　　登录网站后台的账号信息一定不能使用默认的数值，特别是不要轻易使用人/人皆知的admin用户名，如果执意要使用这样的登录账号，必须使用足够复杂的登录密码，例如密码信息最好同时包含大小写字母、数字、符号等。

　　2、堵住注入漏洞

　　不少网站都存在注入式漏洞，这种类型的漏洞往往是由于网站设计不当引起的，例如攻击者可以通过cookie方式手工注入，实现窃取系统管理员权限的账号信息，也可以使用专业的注入工具注入登录账号信息。要堵住这样的安全漏洞，我们可以到网上搜索专业的漏洞修补代码;当然也有比较简单的方法，那就是将IIS服务器设置成不管出什么错误，只给出一种错误提示信息，也就是http500错误，那么非法攻击者就没办法根据IIS给出的错误提示信息进行非法入侵了。

　　3、管理好数据库

　　首先要记得修改网站数据库的默认名称，注意要将其扩展名调整为asp或者asa，否则网站数据库直接可以从网站中下载下来，那样一来就非常不安全了;其次要将网站数据库所在目录名称修改一下，该目录名称也尽量复杂一点;第三数据库地址也要修改一下，不能为了图方便，使用简单的地址信息。

　　4、控制上传方式

　　尽量不采用无组件上传，使用其他组件上传方式(比如Fileup或LyfUpload)，部分无组件上传带有严重漏洞，一般可通过修改upfile.asp文件选择上传方式。此外，上传文件的权限，不能授予系统管理员权限之外的用户，否则的话容易被非法攻击者利用。

　　5、注意站点绑定

　　倘若我们自己没有独立的服务器主机，而是将站点放到其他用户那里进行托管时，那要注意对网站IP地址的绑定，因为非法攻击者可能会通过旁注方式对网站进行非法入侵;比如，要是非法攻击者无法在自己的网站中找到攻击漏洞时，那么他可能会利用同一主机中的其他网站漏洞实施间接攻击。所以，我们日后一定要选择信誉好的正规公司进行服务器绑定操作。