下面是OMG的小
编辑器,用于收集和整理文章,希望对你有所帮助。
1。概述
网站安全主要从
网络安全、主机
系统安全、web
服务安全和页面数据安全等方面进行
检测。
2,Web服务安全
保护 2.1 Web
应用程序安全检测
(1)对于商业软件,如Oracle、Apache和其他通用
组件系统,我们应该根据制造商或第三方安全机构提供的安全
配置增强列表来
设置安全设置。安全发布
启动后,安全补丁应该及时更新。
(二)我们应该定期扫描应用程序系统中的漏洞,采用通用程序(如Apache、WebSphere等)并及时
解决问题。扫描应在非关键业务期间进行,并制定
详细的回滚计划。
(三)隐藏Apache的版本号和其他敏感信息。
默认情况下,许多Apache
安装显示版本号和
操作系统版本,甚至是Apache模块安装在
服务器上,这些信息可以被黑客利用,黑客也可以
学习,设置你的服务器配置多是默认。Lsquo;
这里有两个报表,你需要增加你的httpd.conf
文件:
ServerSignature Off
ServerTokens Prod
serversignature出现在一个页面就像一个404页的底部,一个
目录列表,所以在Apache,servertoken目录是用来确定哪些信息将在Apache服务器的HTTP响应包的头。如果ServerTokens是集产品、HTTP将在包头成立。
服务器:Apache
(四)确保Web根目录之外的文件不提供服务。
拒绝Apache访问Web根目录之外的任何文件。假设您的所有网站文件都放在目录中(例如,Web),您可以将其设置为如下所示:
订单拒绝,允许
所有否认
没有一个选择
创建一个
命令允许,拒绝
允许所有
注意,因为他没有和opitins AllowOverride none,这会
关闭所有的
选项和服务器ocerride。每个目录必须显式设置选项或重写。
(五)关闭目录
浏览 这个
函数通过目录标签中的选项命令实现。
(六)密切包括
通过使用目录标记中的选项命令。设备选项是无或-包括。
选项包括
(七)关闭CGI
执行程序
如果你不使用CGI,关掉它。设置选项为目录中的标签没有或mdash;mdash;execcgi可以:
选择execcgi mdash;
(八)
禁止Apache遵循符号
连接 以同样的方式,将此选项设置为None或mdash;FollowsymLinks:
选择followsymlinks mdash;
2.2 web站点代码安全检测
(1)使用
最新版本的Web服务程序;
(二)利用最低权力原则建立一个专门的
账户来
运行Web服务和数据库服务。
(三)将网站与数据库分开,并禁止在同一服务器上运行的Web服务和数据库服务。
(四)合理配置Web服务,如IIS和Apache,以防止目录
权限、写入权限、文件
下载等漏洞。
(五)加强对网站代码的安全,严格对互联网
用户的Web数据库提交过滤,防止SQL注入,比如我,_;;;而且,exec,or,等:
(六)为互联网用户提交URL,对
消息内容进行严格过滤,防止跨站点攻击,如:;;
脚本;;(、)等;
(七)必须严格限制外部网站的
上传功能。我们需要提高上传文件的格式和内容,
搜索病毒,防止互联网用户上传恶意代码。
(八)设置后台
管理目录,不可猜测,防止后台管理的暴力行为。