网站技术解决方案
网站技术解决方案 1、 服务器自建服务器自行接入电信或者网通线路连接到internet自行配置服务器硬件
及交换机、路由器、防火墙。
2、 操作系统WINDOWS操作系统版本根据需要及系统的性质选择。
3、 网站数据库网站若不是很大则选用ACCESS数据库。大型网站则用用SQLSERVER
数据库SQL Server 2005 是一个全面的数据库平台更安全可靠。
4、 网站安全性网站随着业务更新、web应用软件、以及操作系统漏洞的不断增加会不
时的带来新的隐患需要定期对web服务器作深度的安全检测即渗透测试。
漏洞名称
SQL注入漏洞
经常使用的方案有
1. 所有的查询语句都使用数据库提供的参数化查询接口参数化的语句使用参数而不
是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化
SQL语句执行接口使用此接口可以非常有效的防止SQL注入攻击。
2. 对进入数据库的特殊字符'"\&*;等进行转义处理或编码转换。
3. 确认每种数据的类型比如数字型的数据就必须是数字数据库中的存储字段必须
对应为int型。
4. 数据长度应该严格规定能在一定程度上防止比较长的SQL注入语句无法正确执
行。
5. 网站每个数据层的编码统一建议全部使用UTF-8编码上下层编码不一致有可能
导致一些过滤模型被绕过。
6. 严格限制网站用户的数据库的操作权限给此用户提供仅仅能够满足其工作的权
限从而最大限度的减少注入攻击对数据库的危害。
7. 避免网站显示SQL错误信息比如类型错误、字段不匹配等防止攻击者利用这些
错误信息进行一些判断。
8. 在网站发布之前建议使用一些专业的SQL注入检测工具进行检测及时修补这些
SQL注入漏洞。
挂马攻击
常见的几种类型如下
1. 数据库挂马攻击者利用SQL注入漏洞将挂马代码注入到数据库的某些字段中 如
果网站页面使用到这些字段的值并且没做适当的过滤就有可能导致用户访问该
网站的页面时执行攻击者注入的代码。
2. 文件挂马攻击者直接将挂马代码批量写入服务端文件里以达到整站挂马的目的。
3. arp挂马在与目标站点同一局域网的情况下 攻击者可以通过控制局域网中任
意一台主机计算机发起ARP欺骗并将挂马代码注入到用户请求的响应页面上从
而达到隐蔽的挂马目的。 这样的攻击方式在客户端上也可能发生比如用户所在
的局域网有ARP病毒那么用户请求的所有网站都有可能被注入挂马代码。
4. 服务端配置文件挂马比如IIS里的文件重定向、启用文档
页脚、修改IIS映射等
挂马。这类挂马比较隐蔽也是挂马常用的技巧。
5. XSS挂马利用XSS跨站脚本漏洞将挂马代码注入到客户端页面以达到挂马的目
的。
解决方案
a) 数据库挂马及时恢复数据库或者利用嵌入的挂马代码搜索数据库定位到挂马代码所在的字段值并清除。
b) 文件挂马使用工具或者命令遍历网站所有文本文件批量清除挂马代码。
c) ARP挂马查找出局域网中的ARP病毒源头清除病毒并将相应计算机进行安全
加固或重新安装系统。
d) 服务端配置文件挂马如果上述的方法找不到挂马代码时就应该查找网站服务端
配置文件是否存在异常并恢复。
e) XSS挂马这类挂马使用不广泛修补网站的XSS漏洞即可解决问题。
及时检测并修补网站本身以及网站所在服务端环境的各类漏洞从而在根源上降低消除网站
被挂马的风险。
跨站脚本攻击
常用的防止XSS技术包括
1. 与SQL注入防护的建议一样假定所有输入都是可疑的必须对所有输入中的
script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互
的输入接口也包括HTTP请求中的Cookie中的变量HTTP请求头部中的变量等。
2. 不仅要验证数据的类型还要验证其格式、长度、范围和内容。
3. 不要仅仅在客户端做数据的验证与过滤关键的过滤步骤在服务端进行。
4. 对输出的数据也要检查数据库里的值有可能会在一个大网站的多处都有输出即
使在输入做了编码等操作在各处的输出点时也要进行安全检查。
5. 在发布应用程序之前测试所有已知的威胁。
敏感信息企业需要非常重视信息安全保密工作敏感信息的泄漏有可能对企业造成
沉重的打击甚至会违反相关的法律规定。很多网站在上传文件的时候往往没有注意到敏感
信息泄漏的问题需要引起高度重视。
解决方案
确认网站上的文档是否符合公司的安全策略是否对公司规定的信息安全等级相对应。
确认网站上的文档确实是可以访问和阅读的。
使用安全删除软件将包含敏感信息的文档删除。如果攻击者进入了服务器他们甚至
能恢复很多的敏感文件
系统底层核心功能挂马检测SQL注入检测关键字检测跨站脚本漏洞检测后门、漏
洞、配置错误等脆弱性检测ICP备案检测网站信息获取。
5、 相关程序开发使用JSP、asp.net
6、 网站兼容性所谓的浏览器兼容性问题是指因为不同的浏览器对同一段代码有
不同的解析造成页面显示效果不统一的情况。在大多数情况下我们的需求是
无论用户用什么浏览器来查看我们的网站或者登陆我们的系统都应该是统一的显
示效果。 浏览器兼容问题一不同浏览器的标签默认的外补丁和内补丁不同
解决方案CSS里 “*”
浏览器兼容问题二块属性标签float后又有横行的margin情况下在IE6
显示margin比设置的大
解决方案在float的标签样式控制中加入 display:inline;将其转化为行内属性
浏览器兼容问题三设置较小高度标签一般小于10px在IE6IE7遨
游中高度超出自己设置高度
解决方案给超出高度的标签设置overflow:hidden;或者设置行高line-height 小
于你设置的高度。 浏览器兼容问题四行内属性标签设置display:block后采用float布局又
有横行的margin的情况IE6间距bug
解决方案在display:block;后面加入display:inline;display:table;
浏览器兼容问题五图片默认有间距
解决方案使用float属性为img布局
浏览器兼容问题六标签最低高度设置min-height不兼容
解决方案如果我们要设置一个标签的最小高度200px需要进行的设置为
{min-height:200px; height:auto !ImportAnt; height:200px; overflow:visible;}
浏览器兼容问题七透明度的兼容CSS设置
做兼容页面的方法是每写一小段代码布局中的一行或者一块我们都要在
不同的浏览器中看是否兼容。
相关文章
- 工程项目施工技术方案审查管理办法
- 技术方案管理
- 20**年技术中心部门规划20**年0331
- 专利技术交底书模版 1
- 专项施工方案及安全技术交底
- 申请专利交底书模版
- 专利"三性"解析
- 水土保持方案评审程序
- 专利侵权判定指南(北京高院)
工程项目施工技术方案评审管理办法(试行) 第一章 总则 第一条 为规范和加强工程项目施工技术方案(以下简称技术方案)的评审工作,提高技术方案编制水平,保证技术方案的可行性.可靠性.适用性与经济性,依据国家.行业有关工程建设法律.法规和股份公 ...
Q/JFD 浙江浙能嘉兴发电有限公司企业标准Q/JFD 2040215-2009 代替Q/JFD 2040215-2007 技术方案管理 2009-10-20发布 2009-10-20实施 浙江浙能嘉兴发电有限公司 发 布 Q/JFD 20 ...
2016年技术中心 部门规划 二0一六年三月 目录 1. 引言......................................................................................... ...
发明专利技术交底书模板 案号 交底书名称 发明人 撰写人 E-mail 撰写人电话 交底书注意事项: 1. 代理人并不是技术专家,交底书要使代理人能看懂,尤其是背景技术和详细技术方案,一定要写得全面.清楚. 2. 英文缩写应有中文译文及英文 ...
建设工程施工安全标准化管理资料 (第五册) 专项施工方案及安全技术交底 工程名称: 新盛花苑安置房A区二期 建设单位:施工单位: 江苏苏南建设集团有限公司 监理单位: 无锡市建苑工程监理有限责任公司 江苏省建筑安全监督总站制 目 录 5.1 ...
交底书模版 案号 交底书名称 发明人 撰写人 E-mail 撰写人电话 交底书注意事项: 1. 代理人并不是技术专家,交底书要使代理人能看懂,尤其是背景技术和详细技术方案,一定要写得全面.清楚. 2. 英文缩写应有中文译文及英文全称. 3. ...
专利"三性"解析 北京汉卓律师事务所 赵虎 本人在法律实践工作中经常会遇到客户询问这样的问题:"A工厂未经我的同意用我的技术生产产品,我申请了专利之后,是不是就可以阻止它使用我的技术了",或是&quo ...
关于规范水土保持方案技术评审工作的意见 各有关单位: 为贯彻落实<行政许可法>,适应投资体制改革,提高开发建设项目水土保持方案审批效率和质量,在取消水土保持方案大纲技术评审的基础上,现就进一步加强和规范水土保持方案技术评审工作提 ...
<专利侵权判定指南> 一.发明.实用新型专利权保护范围的确定 (一)确定保护范围的解释对象 1.审理侵犯发明或者实用新型专利权纠纷案件,应当首先确定专利权保护范围.发明或者实用新型专利权保护范围应当以权利要求书记载的技术特征所确 ...