定義:
??????? 網(wǎng)站安全性分析即指,分析者論述威脅網(wǎng)站安全的原因�,提出在建立網(wǎng)站時應考慮的安全性目標以及防范手段�。網(wǎng)站安全分析:
??????? 1.登錄頁面必須加密
??????? 在登錄之后實施加密有可能有用�����,這就像把大門關上以防止馬兒跑出去一樣���,不過他們并沒有對登錄會話加密,這就有點兒像在你鎖上大門時卻將鑰匙放在了鎖眼里一樣�����。即使你的登錄會話被傳輸?shù)搅艘粋€加密的資源,在許多情況下���,這仍有可能被一個惡意的黑客攻克��,他會精心地偽造一個登錄表單�,借以訪問同樣的資源,并訪問敏感數(shù)據(jù)���。
??????? 2.采取專業(yè)工具輔助
??????? 在市面目前有許多針對于網(wǎng)站安全的檢測平臺�,不過這些大多數(shù)是收費的,而目前標榜免費就只有億思網(wǎng)站安全檢測平臺(iiscan)�。通過這些網(wǎng)站安全檢測平臺能夠迅速找到網(wǎng)站的安全隱患,而且這些平臺都會提供針對其隱患做出相應措施。
??????? 3.通過加密連接管理你的站點
??????? 使用不加密的連接(或僅使用輕度加密的連接)�����,如使用不加密的FTP或HTTP用于Web站點或Web服務器的管理,就會將自己的大門向“中間人”攻擊和登錄/口令的嗅探等手段敞開大門�����。因此請務必使用加密的協(xié)議�,如SSH等來訪問安全資源��,要使用經(jīng)證實的一些安全工具如OpenSSH等�����。否則���,一旦某人截獲了你的登錄和口令信息��,他就可以執(zhí)行你可做的一切操作。
??????? 4.使用強健的�����、跨平臺的兼容性加密根據(jù)目前的發(fā)展情況�,SSL已經(jīng)不再是Web網(wǎng)站加密的最先進技術�����?����??br />
??????? 以考慮TLS�����,即傳輸層安全�����,它是安全套接字層加密的繼承者���。要保證你所選擇的任何加密方案不會限制你的用戶基礎。同樣的原則也適用于后端的管理�,在這里SSH等跨平臺的強加密方案要比微軟的Windows遠程桌面等較弱的加密工具要更可取��、更有優(yōu)越性。
??????? 5.從一個安全有保障的網(wǎng)絡連接
??????? 避免從安全特性不可知或不確定的網(wǎng)絡連接�,也不要從安全性差勁的一些網(wǎng)絡連接,如一些開放的無線訪問點等。無論何時�,只要你必須登錄到服務器或Web站點實施管理,或訪問其它的安全資源時�,這一點尤其重要���。如果你連接到一個沒有安全保障的網(wǎng)絡時��,還必須訪問Web站點或Web服務器,就必須使用一個安全代理�����,這樣你到安全資源的連接就會來自于一個有安全保障的網(wǎng)絡代理��。
??????? 6.不要共享登錄的機要信息
??????? 共享登錄機要信息會引起諸多安全問題�����。這不但適用于網(wǎng)站管理員或Web服務器管理員��,還適用于在網(wǎng)站擁有登錄憑證的人員�����,客戶也不應當共享其登錄憑證�。登錄憑證共享得越多,就越可能更公開地共享�,甚至對不應當訪問系統(tǒng)的人員也是如此;登錄機要信息共享得越多���,要建立一個跟蹤索引借以跟蹤�����、追查問題的源頭就越困難���,而且如果安全性受到損害或威脅因而需要改變登錄信息時��,就會有更多的人受到影響�����。
??????? .7采用基于密鑰的認證而不是口令認證
??????? 口令認證要比基于密鑰的認證更容易被攻破���。設置口令的目的是在需要訪
??????? 問一個安全的資源時能夠更容易地記住登錄信息���。不過如果使用基于密鑰的認證�����,并僅將密鑰復制到預定義的���、授權的系統(tǒng)(或復制到一個與授權的系統(tǒng)相分離的獨立介質中,直接需要它時才取回��。)�,你將會得到并使用一個更強健的難于破解的認證憑證。
??????? 網(wǎng)站安全問題的原因何在
??????? 1.大多數(shù)網(wǎng)站設計�����,只考慮正常用戶穩(wěn)定使用
??????? 但在黑客對漏洞敏銳的發(fā)覺和充分利用的動力下,網(wǎng)站存在的這些漏洞就被挖掘出來��,且成為黑客們直接或間接獲取利益的機會。對于Web應用程序的SQL注入漏洞���,有試驗表明���,通過搜尋1000個網(wǎng)站取樣測試�,檢測到有11.3%存在SQL注入漏洞��。
