在不采取必要的安全預(yù)防措施的情況下啟動(dòng)網(wǎng)站就像在門上建立沒(méi)有鎖的房子一樣。大多數(shù)人可能不會(huì)注意到，但是任何有惡意意圖竊取或損壞您的數(shù)據(jù)的人都將有多個(gè)可以利用的漏洞。除了對(duì)您的業(yè)務(wù)造成的任何即時(shí)財(cái)務(wù)損失之外，如果客戶的數(shù)據(jù)被盜竊，您也可能將其置于法律責(zé)任的危險(xiǎn)，下面重慶網(wǎng)頁(yè)設(shè)計(jì)公司及重慶網(wǎng)站制作公司具體談?wù)劸W(wǎng)站安全的問(wèn)題。

在沒(méi)有專家?guī)椭那闆r下，企業(yè)可以采取哪些基本步驟來(lái)提高自己網(wǎng)站的安全性？

網(wǎng)絡(luò)安全審核 - 有許多網(wǎng)站，無(wú)論是付費(fèi)還是免費(fèi)，將為您提供基本的高級(jí)網(wǎng)站審核。其中一些應(yīng)用程序可以提供非常深入的結(jié)果，可以傳遞給專業(yè)人士來(lái)處理。這些結(jié)果可能會(huì)暴露諸如跨站點(diǎn)腳本漏洞，SQL注入和JavaScript注入漏洞等缺陷。其中一些審核站點(diǎn)也可以間隔執(zhí)行掃描以檢測(cè)簽名。由于它們通常是一個(gè)Web應(yīng)用程序，企業(yè)所有者可以注冊(cè)并執(zhí)行掃描。

強(qiáng)密碼策略 - 盡管在幾乎每一篇關(guān)于網(wǎng)站安全的文章中都提到了這一點(diǎn)，但是最方便的方式來(lái)攻擊一個(gè)網(wǎng)站，仍然是強(qiáng)力攻擊一個(gè)非常簡(jiǎn)單的密碼。為了幫助防止這種情況，一些系統(tǒng)將允許自定義密碼策略。一個(gè)好的政策是主觀的 - 有些喜歡至少有12個(gè)字符，需要一個(gè)數(shù)字，一個(gè)大寫(xiě)字母，有時(shí)是一個(gè)特殊的字符; 

鎖定HTML輸入 --允許站點(diǎn)管理員設(shè)置用戶可以輸入的數(shù)據(jù)類型的權(quán)限級(jí)別。例如，允許不受信任的用戶輸入完整的HTML是一個(gè)很大的風(fēng)險(xiǎn)，因?yàn)檫@將允許他們添加腳本標(biāo)簽并利用一個(gè)頁(yè)面。權(quán)限頁(yè)面提供了不允許不受信任的用戶訪問(wèn)此輸入類型的選項(xiàng)。

安全套件 - 允許用戶調(diào)整網(wǎng)站的各種安全設(shè)置。雖然這對(duì)于非專業(yè)人士來(lái)說(shuō)可能太過(guò)先進(jìn)了，但該模塊是公開(kāi)的，可以通過(guò)網(wǎng)站進(jìn)行配置，而不需要使用代碼。

網(wǎng)站安全方面的專家可以增加什么價(jià)值？

端口掃描 - 根據(jù)您的設(shè)置，您的網(wǎng)站可能托管在托管平臺(tái)上。在其他情況下，您可能有自己的專用服務(wù)器或VPS。在后一種情況下，專業(yè)人員將能夠設(shè)置對(duì)端口更改的監(jiān)視，端口是計(jì)算機(jī)上的服務(wù)，用于接收和傳輸數(shù)據(jù)。定期掃描服務(wù)器上的端口對(duì)于查看外部人員是否能夠進(jìn)行通話很有用。

定期更新 - 專業(yè)人員將能夠在服務(wù)器和任何Web應(yīng)用程序上運(yùn)行定期更新。這將確保安裝所有已知安全漏洞的修補(bǔ)程序。而在更新的例子中，如果沒(méi)有按計(jì)劃進(jìn)行更新，他們將能夠?yàn)槟謴?fù)您的網(wǎng)站。

防火墻 - 大多數(shù)UNIX / Linux發(fā)行版都安裝了軟件防火墻標(biāo)準(zhǔn)，并制定規(guī)則，以防止入侵者由專業(yè)人員進(jìn)行，只允許某些端口對(duì)外開(kāi)放，并注意流量。

DDoS - 為防止不必要的流量和DDoS攻擊，這是一種攻擊，試圖通過(guò)淹沒(méi)請(qǐng)求來(lái)使您的服務(wù)無(wú)法使用，專業(yè)人員將能夠通過(guò)放置腳本來(lái)幫助您，或幫助配置像CloudFlare這樣的付費(fèi)服務(wù)。

HTTPS - 專業(yè)人員將能夠幫助您將HTTPS證書(shū)放在適當(dāng)位置，這在通過(guò)您的網(wǎng)站傳輸?shù)拿舾袘{證（如密碼或信用卡信息）時(shí)至關(guān)重要。

敏感數(shù)據(jù)保護(hù) - 專業(yè)人員可以確保任何敏感數(shù)據(jù)（如信用卡數(shù)據(jù)）以符合行業(yè)安全標(biāo)準(zhǔn)的方式進(jìn)行加密和存儲(chǔ)。他們還可以鎖定不能通過(guò)網(wǎng)絡(luò)訪問(wèn)的文件和目錄。

網(wǎng)站最常見(jiàn)的漏洞是什么？

強(qiáng)力密碼攻擊 - 這是當(dāng)攻擊者運(yùn)行一個(gè)自動(dòng)腳本來(lái)垃圾郵件登錄嘗試一次又一次的網(wǎng)站，直到他們猜到正確的密碼。因此，強(qiáng)大的密碼策略對(duì)于訪問(wèn)重要站點(diǎn)組件的人員的管理員尤其重要。

JavaScript注入 - 這是當(dāng)未經(jīng)授權(quán)的嘗試將腳本插入到將要運(yùn)行的一個(gè)或多個(gè)頁(yè)面時(shí)，通常沒(méi)有人知曉。用戶可以隨時(shí)提交值，該值應(yīng)該被清理。

SQL注入 - 與JavaScript注入類似，當(dāng)攻擊者嘗試將SQL（數(shù)據(jù)庫(kù)）代碼添加到任何輸入字段或URL中以嘗試覆蓋數(shù)據(jù)庫(kù)查詢時(shí)。如果攻擊成功，他們將能夠覆蓋數(shù)據(jù)庫(kù)中的數(shù)據(jù)，添加自己的用戶，更改密碼，修改頁(yè)面或訪問(wèn)信用卡數(shù)據(jù)（如果存儲(chǔ)在數(shù)據(jù)庫(kù)中，加密或其他）。這也可以通過(guò)消化輸入數(shù)據(jù)來(lái)緩解。幸運(yùn)的是CMS中，大多數(shù)的SQL操縱都是使用他們?cè)谠创a中的核心來(lái)處理的; 然而，如果使用較舊的系統(tǒng)或自定義代碼，則可能存在可以使用SQL注入的邊緣情況。

跨站點(diǎn)腳本 - 與Javascript注入類似，攻擊者可以向頁(yè)面添加一些內(nèi)聯(lián)JavaScript。這通常通過(guò)表單字段或隨后在頁(yè)面上顯示輸入值的任何地方完成。這將允許某人將一些惡意代碼添加到頁(yè)面，然后通過(guò)電子郵件或鏈接傳遞到該頁(yè)面的鏈接，以執(zhí)行竊取憑據(jù)和劫持用戶會(huì)話等操作。有兩種XSS攻擊 - 反思和持久。第一種是當(dāng)代碼被注入時(shí)，后者是代碼被存儲(chǔ)時(shí)，例如在數(shù)據(jù)庫(kù)中或在模板上。

會(huì)話數(shù)據(jù)/ Cookie - 根據(jù)您的系統(tǒng)在客戶端存儲(chǔ)的數(shù)據(jù)，知識(shí)淵博的黑客可能會(huì)嘗試?yán)眠@些數(shù)據(jù)并偽造自己的Cookie，以訪問(wèn)其通常不會(huì)訪問(wèn)的網(wǎng)站。只有非機(jī)密數(shù)據(jù)或在認(rèn)證中不起主要作用的數(shù)據(jù)才能存儲(chǔ)在cookie中。在諸如Redis的數(shù)據(jù)庫(kù)中存儲(chǔ)會(huì)話數(shù)據(jù)是常見(jiàn)的，并在客戶端上存儲(chǔ)加密的Cookie，如HMAC，以防止篡改。

DDoS攻擊 - 如上所述，這是當(dāng)一個(gè)攻擊企圖用更多的請(qǐng)求來(lái)淹沒(méi)一個(gè)服務(wù)，它可以處理它，使其停止。在網(wǎng)站離線的消息中看到的大量攻擊是由于DDoS攻擊造成的。

一個(gè)網(wǎng)站安全專家最常見(jiàn)的問(wèn)題是什么 - 企業(yè)可以自己解決的基本問(wèn)題，以及需要更復(fù)雜的問(wèn)題？

當(dāng)網(wǎng)站被利用時(shí)，專業(yè)人士會(huì)遇到的最常見(jiàn)的問(wèn)題是上述攻擊。我們遇到的大多數(shù)實(shí)例是已經(jīng)受到SQL注入和DDoS攻擊的頁(yè)面。由于密碼策略差，黑客密碼也很常見(jiàn)。 

但是，它也取決于Web應(yīng)用程序和服務(wù)器。網(wǎng)站源碼善于減輕許多核心安全問(wèn)題，如跨站點(diǎn)腳本，SQL注入，JavaScript注入以及開(kāi)箱即用的強(qiáng)力攻擊。

對(duì)網(wǎng)站安全性最常見(jiàn)的誤解是什么？

前蘇聯(lián)的宣傳員尤里·貝澤梅諾夫曾經(jīng)說(shuō)過(guò)，最常見(jiàn)的間諜活動(dòng)就是吹起橋梁，竊取微縮膠卷和高速追逐車。人們對(duì)黑客的看法可能是類似的，但事實(shí)卻是截然不同的。絕大多數(shù)攻擊除非有政治動(dòng)機(jī)，否則將針對(duì)一個(gè)具體目標(biāo)，即將網(wǎng)站降低或提取某種個(gè)人利益。大多數(shù)黑客將會(huì)尋找自動(dòng)化的東西，并將其放在您的網(wǎng)站上，并進(jìn)入下一個(gè)目標(biāo)，以獲得最大的收益。 

他們通常會(huì)在您的系統(tǒng)上運(yùn)行各種掃描開(kāi)始; 如果他們要嘗試訪問(wèn)您的服務(wù)器，他們將嘗試運(yùn)行端口掃描并檢查在各種端口上運(yùn)行的軟件版本。如果您的服務(wù)器在一段時(shí)間內(nèi)尚未升級(jí)或更新，那么有一個(gè)漏洞可以用于一個(gè)軟件運(yùn)行的機(jī)會(huì)，并且可能會(huì)嘗試?yán)盟；蛘呷绻诜?wù)器上運(yùn)行的服務(wù)也可能具有較少的權(quán)限，那么他們可能會(huì)嘗試以這種方式獲得訪問(wèn)權(quán)限。 

如果您的服務(wù)器運(yùn)行FTP以允許您上傳文件，則黑客可能會(huì)嘗試強(qiáng)制使用用戶和密碼組合，方法是嘗試常用的詞典進(jìn)入。如果存在密碼較弱的用戶，則可能會(huì)獲得訪問(wèn)，放置腳本，然后運(yùn)行它，如果服務(wù)器沒(méi)有確定的措施來(lái)防止這種情況。 

黑客也可以運(yùn)行Web掃描器來(lái)嘗試確定您使用的系統(tǒng)，版本以及啟用了哪些模塊。如果這些模塊之一或系統(tǒng)本身不是最新的安全更新，他們可能會(huì)嘗試?yán)寐┒蠢脕?lái)訪問(wèn)系統(tǒng)。如果這是不可能的，他們可能會(huì)嘗試在您的系統(tǒng)上混合使用URL模式，將查詢傳遞給URL以嘗試執(zhí)行SQL注入或跨站點(diǎn)腳本攻擊。如果您運(yùn)行的是較舊的系統(tǒng)或某些低于標(biāo)準(zhǔn)的自定義代碼，這可能適用于它們。 

否則，他們可能會(huì)在您的網(wǎng)站上查找具有表單或輸入字段的各種頁(yè)面，并嘗試注入惡意代碼。他們可能會(huì)運(yùn)行一個(gè)腳本，將無(wú)盡的請(qǐng)求發(fā)送到您的服務(wù)器，如果多個(gè)黑客以相同的方法定位到您的站點(diǎn)，可能會(huì)使您的服務(wù)器停止，在這種情況下，有一個(gè)良好的系統(tǒng)來(lái)防止這一點(diǎn)至關(guān)重要。黑客也可能會(huì)開(kāi)始檢查您的網(wǎng)站在瀏覽器中存儲(chǔ)的cookie，并嘗試對(duì)其進(jìn)行解碼，以找到一種利用它們的方式。 

這些只是幾個(gè)例子，但除非黑客真正意圖進(jìn)入您的網(wǎng)站和您的網(wǎng)站，否則他們將尋找最快速，最簡(jiǎn)單的方式進(jìn)行，以便他們可以放置一個(gè)政治信息或物品獲得金錢利益然后轉(zhuǎn)到他們的下一個(gè)目標(biāo)。