WEB安全之网站防黑策略部署防范篇

关键词：网络分析 DDoS攻击 网络安全 脚本攻击 SYN攻击

WEB安全之网站防黑策略部署防范篇

 

本文涉及网站安全中的策略与思路，分别指出在网站安全中存在的问题。就问题分析如何做好网站防黑部署，转的老帖仅供学习参考！

 

1、FTP用户密码设置

通常网站都会有一个FTP账号连接服务器提供文件管理，往往用户不注意FTP账号和密码的安全。现在大多数网站FTP都是采用域名字段来确定用户名。这就要注意了，FTP密码不能随便设置。尽量避免弱口令、空口令设置，如空密码、账户密码相同或者123456等。尽量避免直接使用电话号码、QQ号码、生日等敏感性信息。这样以来可以杜绝大部弱口令攻击与个人信息攻击。

 

2、网站后台地址与密码设置

动态交互式网站都是采用前台+后台的模式，开发人员为了方便实用通常把管理后台设置在网站首页或者使

 

用/admin、/admin_login、/manage等地址，如果不确定网站是否存在漏洞和漏密问题那么就修改后台登录地址为不常见的文件名。使黑客无法获取后台管理，安全自然可以得到一定的保障。

注意：前台和后台设计是分离的，修改后台地址不会影响到前台显示。

 

安全建议：一、修改后台路径为复杂地址。二、密码问题同FTP密码设置。

 

3、网站数据库连接配置（access数据库）

网站开发人员为了方便通常在客户案例中的网站都采用一种连接方式，这样很泄漏网站数据库的地址。mdb数据库很容易被下载破解登录用户密码。

黑白安全建议：修改默认的数据库名称,在conn.asp中修改路径。

 

4、网站文件权限设置

设置网站文件权限可以有效的杜绝黑客入侵修改网站内容，通常网站黑客被入侵后会被挂马或者修改页面。现在很多有条件的服务器都部署了防篡改系统，以防止外来入侵。

 

安全建议：虚拟主机用户可以通过FTP工具来设置网站文件权限。

一、静态网站：对于静态网站很简单设置所有文件目录为只读权限。

二、动态网站：取消全站修改权限，设置数据库文件夹和文件生成目录为可读取、写入权限。

三、论坛网站：取消全站修改权限，设置文件上传、data等为可读取、写入权限。

 

5、robots.txt

禁止蜘蛛爬行指定目录，很多管理员认为不让搜索引擎收录到网站后台和敏感目录通过robots.txt来限制。其它这一点是错误的。即使黑客无法通过搜索引擎来查到网站敏感信息，通过访问robots.txt可以很清楚的看到敏感信息。更多案例教程尽在CSNA网络分析论坛