《网站技术解决方案.docx》由会员分享,可在线阅读,更多相关《网站技术解决方案.docx(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网站技术解决方案1、服务器:自建服务器,自行接入电信或者网通线路连接到internet,自行配置服务器硬件 及交换机、路由器、防火墙。2、操作系统:WINDOWS操作系统,版本根据需要及系统的性质选择。3、网站数据库:网站假设不是很大,那么选用ACCESS数据库。大型网站那么用用SQLSERVER 数据库,SQL Server 2005是一个全面的数据库平台,更平安可靠。4、网站平安性:网站随着业务更新、web应用软件、以及操作系统漏洞的不断增加,会不 时的带来新的隐患,需要定期对web服务器作深度的平安检测,即渗透测试。漏洞名称:SQL注入漏洞:经常使用的方案有:1 .所有的查询语句都使用数
2、据库提供的参数化查询接口,参数化的语句使用参数而不 是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化 SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击。2 .对进入数据库的特殊字符(&*;等)进行转义处理,或编码转换。3 .确认每种数据的类型,比方数字型的数据就必须是数字,数据库中的存储字段必须 对应为int型。4 .数据长度应该严格规定,能在一定程度上防止比拟长的SQL注入语句无法正确执 行。5 .网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能 导致一些过滤模型被绕过。6 .严格限制网站用户的数据库的操作权限,给此用户提供
3、仅仅能够满足其工作的权 限,从而最大限度的减少注入攻击对数据库的危害。7 .防止网站显示SQL错误信息,比方类型错误、字段不匹配等,防止攻击者利用这些 错误信息进行一些判断。8 .在网站发布之前建议使用一些专业的SQL注入检测工具进行检测,及时修补这些 SQL注入漏洞。挂马攻击:常见的几种类型如下:1 .数据库挂马:攻击者利用SQL注入漏洞将挂马代码注入到数据库的某些字段中,如 果网站页面使用到这些字段的值,并且没做适当的过滤,就有可能导致用户访问该 网站的页面时执行攻击者注入的代码。2 .文件挂马:攻击者直接将挂马代码批量写入服务端文件里以到达整站挂马的目的。3 . arp挂马:在与目标站点
4、同一局域网的情况下,攻击者可以通过控制局域网中任 意一台主机计算机发起ARP欺骗,并将挂马代码注入到用户请求的响应页面上,从 而到达隐蔽的挂马目的。这样的攻击方式在客户端上也可能发生,比方用户所在 的局域网有ARP病毒,那么用户请求的所有网站都有可能被注入挂马代码。4 .服务端配置文件挂马:比方ns里的文件重定向、启用文档页脚、修改ns映射等 挂马。这类挂马比拟隐蔽,也是挂马常用的技巧。5 . XSS挂马:利用XSS跨站脚本漏洞,将挂马代码注入到客户端页面以到达挂马的目 的。解决方案:a)数据库挂马:及时恢复数据库或者利用嵌入的挂马代码,搜索数据库,定位到挂马代码所在的字段值并清除。b)文件挂
5、马:使用工具或者命令遍历网站所有文本文件,批量清除挂马代码。c) ARP挂马:查找出局域网中的ARP病毒源头,清除病毒,并将相应计算机进行平安 加固或重新安装系统。d)服务端配置文件挂马:如果上述的方法找不到挂马代码时,就应该查找网站服务端 配置文件是否存在异常,并恢复。e) XSS挂马:这类挂马使用不广泛,修补网站的XSS漏洞即可解决问题。及时检测并修补网站本身以及网站所在服务端环境的各类漏洞,从而在根源上降低消除网站 被挂马的风险。跨站脚本攻击常用的防止XSS技术包括:1 .与SQL注入防护的建议一样,假定所有输入都是可疑的,必须对所有输入中的 script, iframe等字样进行严格的
6、检查。这里的输入不仅仅是用户可以直接交互 的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等。2 .不仅要验证数据的类型,还要验证其格式、长度、范围和内容。3 .不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。4 .对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即 使在输入做了编码等操作,在各处的输出点时也要进行平安检查。5 .在发布应用程序之前测试所有的威胁。敏感信息:企业需要非常重视信息平安保密工作,敏感信息的泄漏有可能对企业造成 沉重的打击,甚至会违反相关的法律规定。很多网站在上传文件的时候往往没有注意到敏感 信息泄
7、漏的问题,需要引起高度重视。解决方案:确认网站上的文档是否符合公司的平安策略,是否对公司规定的信息平安等级相对应。确认网站上的文档确实是可以访问和阅读的。使用平安删除软件将包含敏感信息的文档删除。如果攻击者进入了服务器,他们甚至 能恢复很多的敏感文件!系统底层核心功能:挂马检测,SQL注入检测,关键字检测,跨站脚本漏洞检测,后门、漏 洞、配置错误等脆弱性检测,ICP备案检测,网站信息获取。5、相关程序开发:使用JSP、asp net6、网站兼容性:所谓的浏览器兼容性问题,是指因为不同的浏览器对同一段代码有 不同的解析,造成页面显示效果不统一的情况。在大多数情况下,我们的需求是, 无论用户用什么
8、浏览器来查看我们的网站或者登陆我们的系统,都应该是统一的显 示效果。浏览器兼容问题一:不同浏览器的标签默认的外补丁和内补丁不同解决方案:CSS里浏览器兼容问题二:块属性标签float后,又有横行的margin情况下,在当 显示 margin比设置的大解决方案:在float的标签样式控制中加入display:inline;将其转化为行内属性浏览器兼容问题三:设置较小高度标签(一般小于10px),在IE6, IE7,遨 游中高度超出自己设置高度解决方案:给超出高度的标签设置overflow:hidden;或者设置行高line-height小 于你设置的高度。浏览器兼容问题四:行内属性标签,设置di
9、splay:block后采用float布局,又 有横行的margin的情况,IE6间距bug解决方案:在 display:block;后面加入 display:inline;display:table;浏览器兼容问题五:图片默认有间距浏览器兼容问题六:标签最低高度设置min-height不兼容解决方案:如果我们要设置一个标签的最小高度200px,需要进行的设置为:min-height:200px; height: auto ! Import Ant; height :200px; overflow: visible;浏览器兼容问题七:透明度的兼容CSS设置做兼容页面的方法是:每写一小段代码(布局中的一行或者一块)我们都要在 不同的浏览器中看是否兼容。