如何防止棋趣联盟网站被攻击的安全防护干货经验经验分享!

从今年3月全球黑客攻击棋趣联盟网站的情况分析,中国在被黑客攻击的棋趣联盟网站中占绝大多数。那么,作为公司或者开发公司,如何防范黑客对自己的棋趣联盟网站的攻击,从公司的棋趣联盟网站建设之初,就应该做好这方面的工作种安全措施。当你的棋趣联盟 >如果网站保证以下几个方面都做好了,那还是比较安全的。下面,SINE安全网将告诉你如何防止棋趣联盟网站被攻击。安全防护体验。

1、Urban:问题描述:不同管理权限的账号之间存在未经授权的浏览。提议的更改:提升用户权限的身份验证。注意:通常根据不同的管理权限,客户端连接浏览、cookie、更改id等。

2、密码传输,问题描述:系统没有维护足够的客户动态密码。网络攻击可以利用特殊的攻击工具从互联网上窃取合理合法的客户动态密码数据信息。建议更改:传输的登录密码必须经过多次加密,以防被破解。注意:所有登录密码都需要数据加密。对复杂的数据加密。不能用or md5。

3、sql注入:问题描述:网络攻击利用sql注入系统漏洞,获取数据库查询中的各种信息内容,比如后台管理系统的登录密码,然后将数据提取到数据库查询。内容(图书馆外)。更改建议:过滤并检查主要输入参数。使用黑名单和白名单的方法。注意:过滤和检查应涵盖系统软件中的所有主要参数。

4、跨站脚本攻击:问题描述:在不检查输入信息内容的情况下,网络攻击可以以适当的方式将故意的命令代码引入网页。此代码通常是 JavaScript,但实际上,也可以包含 Java、VBScript、ActiveX、Flash 或只是纯 HTML。攻击成功后,网络攻击可以获得更高的管理权限。更改建议:过滤和检查客户输入。输出以执行 HTML 实体行号。注意:过滤、检查、HTML 实体行编号。屏蔽所有主要参数。

5、上传文件系统漏洞:问题描述:上传文件没有限制如何防止棋趣联盟网站被攻击的安全防护干货经验经验分享!,会以可执行文件或脚本文件的形式提交。进一步导致 棋趣联盟 网站服务器出现故障。变更建议:严格认证文件上传,避免提交asp、aspx、asa、php、jsp等有风险的脚本。朋友最好加文件头认证如何攻击网站,避免客户端提交非法文件。

如何防止棋趣联盟网站被攻击的安全防护干货经验经验分享!

6、后台管理详细地址泄露,问题描述:后台管理详细地址过于简单,为网络攻击的后台管理提供了方便。修改建议:修改后台管理的地址链接,地址名称一定要复杂。

7、 相对敏感数据泄露: 问题描述:系统软件暴露内部信息内容,如:棋趣联盟网站绝对路径、网页源代码、SQL语句、分布式数据库版本号、程序进程异常等信息内容。变更建议:过滤客户输入的异常空格字符。屏蔽一些不正确的回声,比如自定义404、403、500等

如何防止棋趣联盟网站被攻击的安全防护干货经验经验分享!

8、指令执行系统漏洞,问题描述:启用了php的system、exec、shell_exec等脚本进程修改建议:修复bug,系统内部必须执行的命令要严格有限。

9、文件目录遍历系统漏洞,问题描述:暴露文件目录信息内容,如编程语言,棋趣联盟网站结构,更改建议:更改相关配置防止目录列表不被显示。

如何防止棋趣联盟网站被攻击的安全防护干货经验经验分享!

10、应用程序重放攻击,问题陈述:重复提交数据文件。建议的更改:添加令牌身份验证。时间戳或此图形验证码。

11、CSRF(Cross-Site Request Forgery),问题描述:应用程序已经登录到客户端并在不知情的情况下执行了某种类型的攻击。建议的更改:添加令牌身份验证。时间戳或此图形验证码。

12、免费文件包含,免费压缩文件下载: 问题描述:免费文件包含,对系统发送的文件夹名称没有有效检查,然后实际操作了意外文件。免费压缩文件下载,系统软件提供免费下载功能,但不限制免费下载文件夹名称。建议的更改:限定客户端提交的文件夹名称。避免故意加载文件,免费下载。

13、设计方案的缺陷/逻辑错误: 问题描述:程序流程按照逻辑保持丰富多彩的功能。在许多情况下,合乎逻辑的行动有缺点。比如程序员的安全概念、考虑的不完备性等。变更建议:改进程序流程的设计方案和判断推理。

14、XML实体行介绍: 问题描述:当允许引入外部实体时,根据结构和有意内容,可以导致任意文档加载,系统命令执行,内网要检测的端口。修改建议:禁止使用应用程序语言提供的外部实体过滤客户端提交的XML数据信息。

15、检查有风险的无关服务项和端口号,问题描述:检查有风险的无关服务项和端口号,为网络攻击提供方便。更改建议:关闭无用的服务项和端口号。早期只开放80和数据库端口。在应用的情况下如何攻击网站,对外开放了20或21个端口。

16、登录功能是短信验证码系统的漏洞。问题描述:继续故意重复一个合理的数据文件,反复发送给服务器。服务器不对客户端提交的数据文件进行合理的限制。变更建议:短信验证码在棋趣联盟网站服务器后端开发更新,数据文件提交一次,数据信息更新一次。

-棋趣联盟