企業防護應重視網站系統安全
網站系統安全作為企業網絡安全防護的重頭戲,網絡管理員不可掉以輕心。企業網站作為企業的臉面,如果一旦被入侵可能會使企業受到資金損失不說,黑客通過掛馬等方式威脅到了用戶安全,導致企業信譽下降則是更嚴重的問題。
據動易公司網絡安全專家介紹:根據2007年OWASP 組織發布的 Web 應用程序脆弱性10大排名的統計結果表明,跨站腳本、注入漏洞、跨站請求偽造、信息泄露等方面的問題仍然是目前黑客流行的攻擊方式,而其中尤以SQL注入攻擊和跨站腳本攻擊為重,所謂的SQL注入攻擊就是利用程序員在編寫代碼時沒有對用戶輸入數據的合法性進行判斷,導致入侵者可以通過插入并執行惡意SQL命令,獲得數據讀取和修改的權限;而跨站腳本攻擊則是通過在網頁中加入惡意代碼,當訪問者瀏覽網頁時,惡意代碼會被執行或者通過給管理員發信息的方式誘使管理員瀏覽,從而獲得管理員權限,控制整個網站。
那么,對這種黑客攻擊方式有沒有有效的網站系統安全手段進行阻擊呢?據悉,在SiteFactory™ 內容管理系統開發中,針對各種攻擊方式都制定了相應完整的防御方案,并且借助 ASP.NET 的特性和功能,可以有效的抵制惡意用戶對網站進行的攻擊,提高網站的安全性,但就針對目前SQL注入攻擊和跨站腳本攻擊,其更加有效的阻擊手段是什么呢?為此,我們向動易網絡安全專家了解,他向我們介紹了一些安全手段:
(一)對于SQL注入攻擊:動易系統采用對SQL查詢語句中的查詢參數進行過濾;使用類型安全的SQL參數化查詢方式,從根本上解決SQL注入的問題;URL參數類型、數量、范圍限制功能,解決惡意用戶通過地址欄惡意攻擊的問題等,這些手段是控制SQL注入的,還包括其它的一些過濾處理,和其它的對用戶輸入數據的驗證來防止SQL注入攻擊。
(二):對于跨站腳本攻擊:在對于不支持HTML的內容直接實行編碼處理的辦法,來從根本上解決跨站問題。而對于支持Html的內容,我們有專門的過濾函數,會對數據進行安全處理(依據XSS攻擊庫的攻擊實例),雖然這種方式目前是安全的,但不代表以后也一定是安全的,因為攻擊手段會不斷翻新,我們的過濾函數庫也會不斷更新。
另外對于外站訪問和直接訪問我們也做了判斷,從一定程度上也可以避免跨站攻擊。即使出現了了跨站攻擊,我們也會通過網站系統安全手段將攻擊的影響減到最小:
一、對于后臺一些會顯示HTML內容的地方,通過frame的安全屬性security="restricted"來阻止腳本的運行(IE有效);
二、使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密(IE6 SP1以上、Firefox 3);
三、身份驗證票據都是加密過的;
四、推薦使用更高版本的IE或者FF。
【編輯推薦】
