网站建设 · UI设计 · 品牌策划 · 营销推广 · 电商运营
德菁学院
共享国内外优质资源

高校网站安全分析及对策研究

时间: 2018-10-11 14:51:30浏览次数:2
       
      1、网站设计风格各异,开发环境、语言不统一,管理困难,程序存在漏洞
最常见的网站被攻击方式有以下几种:
       (1)SQL注入。高校网站被攻击方式中SQL注入是最主要的风险,占黑客攻击数量的63%。据介绍,SQL注入攻击主要是利用网站系统漏洞,黑客通过向网站提交的SQL查询语句,非法获取网站数据库中的敏感信息(如用户名、密码等),从而直接上传后门文件,篡改网页内容,修改数据库数据等一系列严重后果。
       (2)跨站脚本。攻击者通过伪造请求,模仿用户提交表单的行为,将看上去来源可靠的链接中恶意嵌入代码,从而达到修改用户的数据,执行特定任务的目的。
       (3)上传文件。攻击者利用应用程序(如FTP等)上传恶意代码,当客户端执行时从而对网站造成破坏。
       (4)Http Heads攻击。WEB网站无论采用何种技术和框架,都会用到HTTP协议,攻击者通过HTTP协议在Response header和content之间注入任意字符,从而攻击网站,如执行脚本语句、篡改cookies等。
除网站程序开发上的漏洞外,高校网站还常存在网站管理上的问题。很多高校网站基于windows server系统,借助IIS为网站发布服务器,将几十个甚至上百个网站放置在相同目录下,然而,不同的网站文件夹权限设置却相同。网站文件夹权限设置不合理很可能也会引起网站数据被篡改,从而导致网站被挂马或被植入广告链接等。
       2、服务器系统、软件存在漏洞
       无论是Windows Server还是Linux、Unix操作系统,都有可能存在漏洞,如不及时修复、更新、安装补丁程序,系统随时会受到威胁。同时,服务器配置上的不完善也会成为被攻击的对象,如权限设置不严谨,管理员账号用户名、密码为空等;没有关闭不必要的服务;共享文件夹不设置相应的权限;所有主机都可以Telnet到服务器等。运行在服务器上的软件也可能存在版本过低,非正版软件等一系列问题,也会产生漏洞。
       3、高校网站安全防护对策:统一建设、规范管理,严防程序漏洞
       (1)防SQL注入。参数化SQL语句,通过设计与数据库链接和访问数据时,使用参数给值,用@表示参数;字符串过滤和使用正则表达式过滤参数等方法;屏蔽服务器异常信息。
       (2)防止跨站脚本攻击(XSS)。常见解决方法:输入过滤,对用户的输入或者请求的头部进行过滤。编程者要有良好的安全意识,对所有的输入源进行覆盖,但不可以阻止其他问题,如错误提示等。输出过滤或者安装第三方应用防火墙,拦截css攻击以可以做到有效的防止跨站脚本攻击。
       (3)当上传文件[9]时,过滤文件扩展名,将不在允许访问的扩展名列表之内的文件,拒绝其访问。对于文件内容的攻击则无法用文件名过滤来排除,只能通过扫描其文件内容来识别。
        (4)防止Http Heads攻击。过滤所有的response headers,除去header中出现的非法字符,尤其是CRLF。
        4、加强网站日常维护
        安排和配置专业技术人员从事网站的日常管理维护工作,加强对网络、网站服务器、网络安全设备、杀毒软件、防火墙等的维护和升级。同时,制定严格的规章制度,责任要落实到人,管理要到位,建立建全安全应急响应和处理预案。此外,采取多种备份方式并定期备份系统和网站数据,以便出现问题时能及时恢复。定期检查服务器日志,检查服务器及网站运行状态,发现网站异常或有入侵现象,进行即时的安全处理,防止问题进一步扩大。
想要效果 就要行动
速度联系广州建站优选品牌德菁科技

现在填写 送好礼

智慧建站新选择,网络营销好伙伴

有颜值 会销售 ,一切用效果说话

广州建站优选品牌德菁科技

助您成功跻身明星企业及实力网商行列。

德菁网络建站免费咨询热线
15322330322
在线QQ咨询
QQ:53112037