網站的防範除了從技術上要制定一些措施,如經常對
Web
伺服器軟體升級、安裝相應的安全補丁外,還要注意以下問題:
(1)
天天關注你負責的網站。把你管理的網站設為瀏覽器的首頁,每天至少看一次你所管理的網站,尤其是節假日,因為節假日恰恰是攻擊的高發時段。
(2)
定期備份資料庫和可供下載的文件。網站如果不是經常更新,訪問量不大,大概每週備份一次,反之每天一次。特別是要經常對外發布訊息,提供資料下載的網站,更要做好這方面的工作。
(3)
密碼要健壯。後臺管理的賬號密碼與管理員個人的常用不同,以防他人從別處得到網站的密碼。如果有多個管理員,要保證所有人的密碼都是健壯的。
(4)
網站改版後,如需要保留舊版,要記得刪除舊版的後臺。如果改版,應及時刪除舊版的後臺管理,特別是上傳板塊。同時注意清理放到網站上的檔案,不要把包含敏感資訊的文件放到網站空間裡。很多人以為在網頁上看不到的文件就是安全的,其實不安全。
(5)
檔案時間一致原則。簡單地說就是保持大部分檔案地上傳時間一致(資料庫之類讀寫的檔案除外)。具體做法是一次上傳所有的檔案,就算修改了一個檔案也建議重新上傳所有網頁,這樣做主要是方便查詢木馬。
(6)
要把資料庫副檔名更名為
。asa
,實驗證明,副檔名改成
。sap
是沒用的,還是可以下載,而且可能被暗藏
ASP
木馬在資料庫中。要備份資料庫,直接以
FTP
格式下載就可以。
(7)
給使用者儘可能少的功能和許可權,功能越複雜可能出現的漏洞越多,除非你對直接的技術很有資訊,否則請謹慎向用戶開放上傳等容易受到攻擊的功能。
(8)
出錯資訊越模糊越好,這裡的出錯資訊包括程式的錯誤資訊和對攻擊行為的提示資訊。程式的錯誤資訊可能暴漏資料庫的型別、位置,也可能為注入提供方便。