萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 快看 保障您網站安全的十點技巧

快看 保障您網站安全的十點技巧

  香港娛樂圈“艷照門事件沸沸揚揚,究其原因無關道德,實在是電腦不安全,照片和錄象被洩密了。

  只有掌握了信息安全技術,才不會擔心你的信息的丟失,不擔心你上網會被盜竊銀行密碼和QQ密碼郵箱密碼,我們才不會出現陳冠希一樣的尴尬。

  春節前後,網上炒的最沸騰的就是“艷照門了,這在信息安全這個小小的圈子裡也一個不大不小的熱點。一時間眾說紛纭,社交工程、信息銷毀、道德法律等字眼都進入眼簾。

  我就想不到那麼復雜的東東,我覺得就是兩個小的細節沒有做好。

  1.送修前沒有將硬盤卸除或者徹底銷毀關鍵數據:由於種種的不方便,似乎很少人這麼做。

  2.沒有在維修時進行全程維修陪同監控:由於沒有這方面的意識,似乎很少人這麼做。

  如果這兩個小動作做了,那麼就可以避免此次安全事件的發生。

  對於網站的站長來說,安全應該怎麼做呢?

  目前很多人都采用動網、LEADBBS、動易系統等程序做網站,由於源碼公開,因此程序漏洞暴露明顯,很容易被黑,安全專家陳十三哥建議大家參考以下部分安全建議,做好自身安全:

  (1)仔細查看安裝說明,切記修改默認數據庫名,並且一定要把擴展名改為asp或者asa,因為不經處理的數據庫可以直接下載,根本無安全可言,另外可以把數據庫所在目錄改名。

  (2)盡量不采用無組件上傳,使用其他組件上傳方式(比如Fileup或LyfUpload),部分無組件上傳帶有嚴重漏洞,一般可通過修改upfile.asp文件選擇上傳方式。

  (3)經常訪問相關官方網站,關注程序安全漏洞和更新版本,及時給自己程序升級或打上補丁。

  (4)盡量不采用修改版和插件版的程序,因為修改後的程序會使漏洞更多,而且補丁也不一定完全適用。

  (5)設置相對復雜的FTP密碼和網站管理密碼並經常修改,同時考慮修改網站後台管理的文件名稱。

  (6)經常檢查網站內文件,發現可疑文件後及時處理,並分析可能的原因。

  (7)對於SQL數據庫,您可以用企業管理器連接,然後把重要數據表設置為只讀權限,如動網的DV_Admin表修改為只讀以後,可以防止任何方式添加管理員。

  (8)二次開發時切記做好對特殊符號的過慮,防止注入漏洞。

  (9)經常備份自己的網站數據,因為網站安全的第一要求就是備份,防止被黑以後數據丟失。

  (10)如果有服務器管理權限建議把論壇上傳圖片目錄設置權限最低。

  在網絡攻擊成倍增長的今天,網絡反黑客保安全已經成為每個計算機用戶的必備課程。欲成為成功的信息安全專業人士,不僅需要不斷更新最尖端的安全知識,還需要對商務過程和風險管理有深刻認識。就現在許多IT公司的現狀來看,基本上每一個公司都有一名或多名(部門)專職的人員負責著公司內網、外網、服務器的網絡安全維護。而隨著網絡應用的不斷普及與信息安全服務需求市場的不斷成熟,逐漸出現了一些專業的以信息安全服務為主要業務的團隊、公司。

  大多數公司的網管僅僅是程序人員和網頁設計人員,對安全涉獵有限。而且,網絡是否安全,有時並不是網絡所有者自己完全清楚的。所以,許多公司要請第三方評估機構或專家來完成對網絡安全的評估。這樣做的好處是:能對自己所處的環境有個更加清醒的認識,把未來可能的風險降到最小。目前網絡安全評估的中介機構,國外已經開始將網絡的安全評估作為一個新的服務項目向社會推出。作為一種新興的業務,其影響是否能象會計師事務所、審計師事務所之類的中介機構那樣重要,尚需拭目以待。但有一點可以肯定,那就是網絡上的商機同樣也與風險同存。要想獲得利潤,就必須將安全問題解決。

  作者:Jack

  【賽迪網-IT技術報道】在上周四(3月27日)的“PWN 2 OWN”2008年全球黑客大賽上,黑客謝恩?麥考萊(Shane Macaulay)一舉攻破微軟Vista系統,並因此獲得5000美元獎金和一台作為獎品的筆記本。

  本周一,麥考萊將其獎品筆記本在eBay上拍賣,起價為0.01美元,並模稜兩可的暗示這台機器可能仍含有可攻擊Vista的執行代碼。由於周一是歐美國家盛行的愚人節,有人懷疑麥考萊是在惡作劇。但麥考萊當天表示,這台富士通筆記本已歸他個人所有,他本人有權對其隨意處置。

  當晚美國太平洋時間11點,eBay網站刪除了麥考萊上述拍賣信息,並稱他的這種做法不利於廣大計算機用戶安全。eBay一位發言人表示:“麥考萊的拍賣信息上故意添加了含有Vista攻擊代碼等字樣,這已經引起了網絡安全專家們的注意。”

  “PWN 2 OWN”2008年全球黑客大賽於上周三進行,大賽舉辦方提供了三部運行不同操作系統的筆記本電腦,以供各參賽黑客小組實施攻擊,這些操作系統分別為微軟Vista、蘋果Mac OS X及Ubuntu Linux。周三當天,所有參賽小組都沒能成功攻破任何一台筆記本。

  上周四大賽舉辦方改變了攻擊規則,當天以查理?米勒(CharlIE Miller)為主的參賽小組在不到2分鐘時間內攻破了蘋果MacBook Air超薄筆記本,並為此獲得了1萬美元獎金。周五是大賽的最後一天。當天參賽黑客謝恩?麥考萊(Shane Macaulay)一舉攻破了微軟Vista系統,所獲獎金為5000美元。到周五為止,只有運行Ubuntu系統的筆記本沒有被攻破。

  業界人士稱,如果麥考萊上述拍賣行為不是開愚人節玩笑,他就有可能違反了PWN 2 OWN大賽的相應規則。此前大賽舉辦方規定,任何參賽人員發現相應漏洞後,不得對外公布他們所發現的產品漏洞和相應攻擊方式,以便相應廠商能及時修補漏洞。

  (責任編輯:李磊)

  黑客技術的發展似乎是一個個輪回,從最早開始的Dos洪水攻擊,到後來黑客們更鐘情的漏洞入侵,直到現階段DoS攻擊再現。這種看似原始但直到現在也沒有完備方案解決的攻擊方式,讓叱詫風雲的Yahoo、CNN、eBay也深受其害。DoS攻擊有何德何能?當企業面對DoS攻擊時,又有哪些策略可以減小損失呢?

  一、了解DoS本質

  對於安全界來說,DoS攻擊原理極為簡單,早已為人們所熟知。但目前全球每周所遭遇的DoS攻擊依然達到4000多次,正是因為簡單、頑固的原因,讓DoS攻擊如野草般燒之不盡,DoS攻擊最早可追述到1996年,在2000年發展到極致,這期間不知有多少知名網站遭受到它的騷擾。

  所謂DoS,全稱為Denial of Service——拒絕服務。它通過協議方式,或抓住系統漏洞,集中對目標進行網絡攻擊,直到對方網絡癱瘓,大家常聽說的洪水攻擊,瘋狂Ping攻擊都屬於此類。由於這種攻擊技術門檻較低,並且效果明顯,防范起來比較棘手,所以其一度成為准黑客們的必殺武器,進而出現的DDoS(Distubuted Denial of Service分布式拒絕服務)攻擊,更是讓網絡安全管理員感到頭痛。

  不過我們應該看到,DoS攻擊僅僅是破壞對方網絡訪問狀態,不會進行實質性的入侵,對服務器和網絡設備不構成致命傷害,但對於提供Web服務的企業來說,該攻擊方式仍然會造成比較大的損失。雖然目前業界沒有提供統一標准的防護方式,但我們仍然可以從一些操作習慣和設備環境部署上減小DoS攻擊帶來的危害。

  二、防御DoS攻擊措施

  在應對常見的DoS攻擊時,路由器本身的配置信息非常重要,管理員可以通過以下幾個方面,來防止不同類型的DoS攻擊。

  擴展訪問列表是防止DoS攻擊的有效工具,其中Show IP access-list命令可以顯示匹配數據包,數據包的類型反映了DoS攻擊的種類,由於DoS攻擊大多是利用了TCP協議的弱點,所以網絡中如果出現大量建立TCP連接的請求,說明洪水攻擊來了。此時管理員可以適時的改變訪問列表的配置內容,從而達到阻止攻擊源的目的。

copyright © 萬盛學電腦網 all rights reserved