首页 > 网站建设 >

如何防范黑客攻击网站的两种方法

发布时间:2018-11-15 作者:深圳网站建设

如何防范黑客攻击网站的两种方法
  互联网时代,各种电商、信息平台遍地开花,很多公司对于自己网站安全重要性并没完全认识到,这就直接导致后期平台很多客户资料泄露、网站出现乱码,访问卡顿、甚至无法访问等情况的出现。深圳网站建设公司针对这类网站安全问题归纳并整理出如下攻击以及防范方案,供各位在网站制作之初以及后期网站运行期间参考。
一、网站建设公司提示安全防护知识之CSRF攻击
  CSRF (Cross Site Request Forgery,跨站点请求伪造),攻击者通过跨站请求,以合法用户的身份进行非法操作,如转账交易、发表  评论等,如图8-4所示。CSRF的主要手法是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核心是利用了浏览器Cookie或服务器Session策略,盗取用户身份。
网站建设公司安全提示案例图8-4CSRF攻击示例图
 相应地,网站建设公司建议采取CSRF的防御手段主要是识别请求者身份。主要有下面几种方法来解决:
1.表单Token
  CSRF是一个伪造用户请求的操作,所以需要构造用户请求的所有参数才可以。表单Token通过在请求参数中增加随机数的办法来阻止攻击者获得所有请求参数:在页面表单中增加个随机数作为Token,每次响应页面的Tokeu都不相同,从正常页面提交的请求会包含该Token值,而伪造的请求无法获得该值,服务器检查请求参数中Token的值是否存在并且正确以确定请求提交者是否合法。
2.验证码
  相对说来,验证码则更加简单有效,即请求提交时,需要用户输入验证码,以避免在用户不知情的情况下被攻击者伪造请求。但是输入验证码是一个糟糕的用户体验,所以请在必要时使用,如支付交易等关键页面。
3.Referar check
  HTTP请求头的Referer域中记录着请求来源,可通过检查请求来源,验证其是否合法。很多网站使用这个功能实现图片防盗链(如果图片访问的页面来源不是来自自己网站的网页就拒绝)。
二、网站建设公司安全防护知识其他攻击和漏洞
   除了上面提到的常见攻击,还有一些漏洞也常被黑客利用
1.Error Code
  也称作错误回显,许多Web服务器默认是打开异常信息输出的,即服务器端未处理的异常堆栈信息会直接输出到客户端浏览器,这种方式虽然对程序调试和错误报告有好处,但同时也给黑客造成可乘之机。通过故意制造非法输入,使系统运行时出错,获得异常信息,从而寻找系统漏洞进行攻击。防御手段也很简单,通过配置Web服务器参数,跳转500页面(HTTP响应码500表示服务器内部错误)到专门的错误页面即可。Web应用常用的MVC框架也有这个功能。
2.HTML注释
  为调试程序方便或其他不晗当的原因,有时程序开发人员会在PHP、JSP等服务器页面程序中使用HTivIL注释语法进行程序注释,这些HTivIL注释就会显示在客户端浏览器,给黑客造成攻击便利。程序最终发布前需要进行代码revlew或自动扫描,避免HTML注释漏洞。
3.文件上传
  一般网站都会有文件上传功能.设置头像、分享视频、上传附件等。如果上传的是可执行的程序,并通过该程序获得服务器端命令执行能力,那么攻击者几乎可以在服务器上为所欲为,并以此为跳板攻击集群环境的其他机器。最有效的防御手段是设置上传文件白名单,只允许上传可靠的文件类型。此外还可以修改文件名、使用专门的存储等手段,保护服务器免受上传文件攻击。
4.路径遍历
  攻击者在请求的URL中使用相对路径,遍历系统未开放的目录和文件。防御方法主要是将Js、css等资源文件部署在独立服务器、使用独立域名,其他文件不使用静态URL访问,动态参数不包含文件路径信息。好了,如果您有这方面的问题需要协助可以联系本站在线客服,我们会为您免费提供更完善详细的解决方案,网站建设公司关于网站安全防范的经验分享本文就到这里,谢谢你的关注,博纳网络希望这类型网站安全防护方面的经验文章能给你的工作有所帮助。
文章标题:如何防范黑客攻击网站的两种方法
本文地址:https://www.198bona.com/news/1724.html
如果您觉得案例还不错请帮忙分享:

网站建设

网络推广

解决方案

域名主机

建站行业资讯