网站技术解决方案

网站技术解决方案 1、 服务器自建服务器自行接入电信或者网通线路连接到internet自行配置服务器硬件

及交换机、路由器、防火墙。

2、 操作系统WINDOWS操作系统版本根据需要及系统的性质选择。

3、 网站数据库网站若不是很大则选用ACCESS数据库。大型网站则用用SQLSERVER

数据库SQL Server 2005 是一个全面的数据库平台更安全可靠。

4、 网站安全性网站随着业务更新、web应用软件、以及操作系统漏洞的不断增加会不

时的带来新的隐患需要定期对web服务器作深度的安全检测即渗透测试。

漏洞名称

SQL注入漏洞

经常使用的方案有

1. 所有的查询语句都使用数据库提供的参数化查询接口参数化的语句使用参数而不

是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化

SQL语句执行接口使用此接口可以非常有效的防止SQL注入攻击。

2. 对进入数据库的特殊字符'"\&*;等进行转义处理或编码转换。

3. 确认每种数据的类型比如数字型的数据就必须是数字数据库中的存储字段必须

对应为int型。

4. 数据长度应该严格规定能在一定程度上防止比较长的SQL注入语句无法正确执

行。

5. 网站每个数据层的编码统一建议全部使用UTF-8编码上下层编码不一致有可能

导致一些过滤模型被绕过。

6. 严格限制网站用户的数据库的操作权限给此用户提供仅仅能够满足其工作的权

限从而最大限度的减少注入攻击对数据库的危害。

7. 避免网站显示SQL错误信息比如类型错误、字段不匹配等防止攻击者利用这些

错误信息进行一些判断。

8. 在网站发布之前建议使用一些专业的SQL注入检测工具进行检测及时修补这些

SQL注入漏洞。

挂马攻击

常见的几种类型如下

1. 数据库挂马攻击者利用SQL注入漏洞将挂马代码注入到数据库的某些字段中 如

果网站页面使用到这些字段的值并且没做适当的过滤就有可能导致用户访问该

网站的页面时执行攻击者注入的代码。

2. 文件挂马攻击者直接将挂马代码批量写入服务端文件里以达到整站挂马的目的。

3. arp挂马在与目标站点同一局域网的情况下 攻击者可以通过控制局域网中任

意一台主机计算机发起ARP欺骗并将挂马代码注入到用户请求的响应页面上从

而达到隐蔽的挂马目的。 这样的攻击方式在客户端上也可能发生比如用户所在

的局域网有ARP病毒那么用户请求的所有网站都有可能被注入挂马代码。

4. 服务端配置文件挂马比如IIS里的文件重定向、启用文档

页脚、修改IIS映射等

挂马。这类挂马比较隐蔽也是挂马常用的技巧。

5. XSS挂马利用XSS跨站脚本漏洞将挂马代码注入到客户端页面以达到挂马的目

的。

解决方案

a) 数据库挂马及时恢复数据库或者利用嵌入的挂马代码搜索数据库定位到挂马代码所在的字段值并清除。

b) 文件挂马使用工具或者命令遍历网站所有文本文件批量清除挂马代码。

c) ARP挂马查找出局域网中的ARP病毒源头清除病毒并将相应计算机进行安全

加固或重新安装系统。

d) 服务端配置文件挂马如果上述的方法找不到挂马代码时就应该查找网站服务端

配置文件是否存在异常并恢复。

e) XSS挂马这类挂马使用不广泛修补网站的XSS漏洞即可解决问题。

及时检测并修补网站本身以及网站所在服务端环境的各类漏洞从而在根源上降低消除网站

被挂马的风险。

跨站脚本攻击

常用的防止XSS技术包括

1. 与SQL注入防护的建议一样假定所有输入都是可疑的必须对所有输入中的

script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互

的输入接口也包括HTTP请求中的Cookie中的变量HTTP请求头部中的变量等。

2. 不仅要验证数据的类型还要验证其格式、长度、范围和内容。

3. 不要仅仅在客户端做数据的验证与过滤关键的过滤步骤在服务端进行。

4. 对输出的数据也要检查数据库里的值有可能会在一个大网站的多处都有输出即

使在输入做了编码等操作在各处的输出点时也要进行安全检查。

5. 在发布应用程序之前测试所有已知的威胁。

敏感信息企业需要非常重视信息安全保密工作敏感信息的泄漏有可能对企业造成

沉重的打击甚至会违反相关的法律规定。很多网站在上传文件的时候往往没有注意到敏感

信息泄漏的问题需要引起高度重视。

解决方案

确认网站上的文档是否符合公司的安全策略是否对公司规定的信息安全等级相对应。

确认网站上的文档确实是可以访问和阅读的。

使用安全删除软件将包含敏感信息的文档删除。如果攻击者进入了服务器他们甚至

能恢复很多的敏感文件

系统底层核心功能挂马检测SQL注入检测关键字检测跨站脚本漏洞检测后门、漏

洞、配置错误等脆弱性检测ICP备案检测网站信息获取。

5、 相关程序开发使用JSP、asp.net

6、 网站兼容性所谓的浏览器兼容性问题是指因为不同的浏览器对同一段代码有

不同的解析造成页面显示效果不统一的情况。在大多数情况下我们的需求是

无论用户用什么浏览器来查看我们的网站或者登陆我们的系统都应该是统一的显

示效果。 浏览器兼容问题一不同浏览器的标签默认的外补丁和内补丁不同

解决方案CSS里 “*”

浏览器兼容问题二块属性标签float后又有横行的margin情况下在IE6

显示margin比设置的大

解决方案在float的标签样式控制中加入 display:inline;将其转化为行内属性

浏览器兼容问题三设置较小高度标签一般小于10px在IE6IE7遨

游中高度超出自己设置高度

解决方案给超出高度的标签设置overflow:hidden;或者设置行高line-height 小

于你设置的高度。 浏览器兼容问题四行内属性标签设置display:block后采用float布局又

有横行的margin的情况IE6间距bug

解决方案在display:block;后面加入display:inline;display:table;

浏览器兼容问题五图片默认有间距

解决方案使用float属性为img布局

浏览器兼容问题六标签最低高度设置min-height不兼容

解决方案如果我们要设置一个标签的最小高度200px需要进行的设置为

{min-height:200px; height:auto !ImportAnt; height:200px; overflow:visible;}

浏览器兼容问题七透明度的兼容CSS设置

做兼容页面的方法是每写一小段代码布局中的一行或者一块我们都要在

不同的浏览器中看是否兼容。