企業安全：黑客阻擊技術攻防戰

　　黑客永遠是安全界的天敵，相反只有黑客技術才能推進網絡安全的發展，兩者是相輔相成的。然而面對現在眾多的網絡黑客，企業到底該做哪些東西才能將安全進行到底呢？這是很現實的問題。

　　專家支招一：重視網站系統安全，布控第二把鎖

　　構建安全服務器的環境，只是從外圍進行阻擊“黑客”的攻擊，但更重要的還是要保障網站系統安全，防止黑客利用系統漏洞進行攻擊，從而威脅網站安全。

　　據動易公司網絡安全專家介紹：根據2007年OWASP組織發布的Web應用程序脆弱性10大排名的統計結果表明，跨站腳本、注入漏洞、跨站請求偽造、信息洩露等方面的問題仍然是目前黑客流行的攻擊方式，而其中尤以SQL注入攻擊和跨站腳本攻擊為重，所謂的SQL注入攻擊就是利用程序員在編寫代碼時沒有對用戶輸入數據的合法性進行判斷，導致入侵者可以通過插入並執行惡意SQL命令，獲得數據讀取和修改的權限；而跨站腳本攻擊則是通過在網頁中加入惡意代碼，當訪問者浏覽網頁時，惡意代碼會被執行或者通過給管理員發信息的方式誘使管理員浏覽，從而獲得管理員權限，控制整個網站。

　　那麼，對這種黑客攻擊方式有沒有有效的安全手段進行阻擊呢？據悉，在SiteFactory??內容管理系統開發中，針對各種攻擊方式都制定了相應完整的防御方案，並且借助ASP.NET的特性和功能，可以有效的抵制惡意用戶對網站進行的攻擊，提高網站的安全性，但就針對目前SQL注入攻擊和跨站腳本攻擊，其更加有效的阻擊手段是什麼呢？為此，我們向動易網絡安全專家了解，他向我們介紹了一些安全手段：

　　(一)對於SQL注入攻擊：動易系統采用對SQL查詢語句中的查詢參數進行過濾；使用類型安全的SQL參數化查詢方式，從根本上解決SQL注入的問題；URL參數類型、數量、范圍限制功能，解決惡意用戶通過地址欄惡意攻擊的問題等，這些手段是控制SQL注入的，還包括其它的一些過濾處理，和其它的對用戶輸入數據的驗證來防止SQL注入攻擊。

　　(二)：對於跨站腳本攻擊：在對於不支持HTML的內容直接實行編碼處理的辦法，來從根本上解決跨站問題。而對於支持Html的內容，我們有專門的過濾函數，會對數據進行安全處理(依據XSS攻擊庫的攻擊實例)，雖然這種方式目前是安全的，但不代表以後也一定是安全的，因為攻擊手段會不斷翻新，我們的過濾函數庫也會不斷更新。

　　另外對於外站訪問和直接訪問我們也做了判斷，從一定程度上也可以避免跨站攻擊。即使出現了了跨站攻擊，我們也會將攻擊的影響減到最小：一、對於後台一些會顯示HTML內容的地方，通過frame的安全屬性security=”restricted”來阻止腳本的運行(IE有效)；二、使用Cookie的HttpOnly屬性來防止Cookie通過腳本洩密(IE6SP1以上、Firefox3)；三、身份驗證票據都是加密過的；四、推薦使用更高版本的IE或者FF。