保护您的网页与开发网页一样重要,因为任何可能危及安全的威胁都可能损害您的商业信誉,损害您的财务状况(通过窃取您的在线存款),损害访问您网站的客户等等.
根据安全专家的意见,他们建议根据 OWASP TOP 10 进行网站安全检查,这是一个强大的Web应用程序安全感知文档. OWASP Top 10代表了对最关键的Web应用程序安全漏洞的广泛共识.
SQL注入
注入漏洞,例如SQL,当不受信任的数据作为命令或查询的一部分发送到解释器时,会发生OS和LDAP注入.攻击者的恶意数据可能会欺骗解释者执行非预期的命令或在未经适当授权的情况下访问数据.
解决方案 : 要从iSQL保护您的网页,您必须验证输入和过滤符号.
破坏的身份验证和会话管理
与身份验证和会话管理相关的应用程序功能通常无法正确实施,这使攻击者可以破解密码,密钥,会话令牌甚至利用其他功能实现缺陷以假设其他用户的身份.
解决方案 : 为确保您的网站免受此缺陷的影响,您必须制作有效期限的Cookie和会话.
跨站点脚本(XSS)
XSS漏洞发生每当应用程序获取不受信任的数据并将其发送到Web浏览器而没有正确的验证或转义时. XSS允许攻击者在受害者的浏览器中执行脚本,然后可以劫持用户会话,破坏网站或将用户重定向到恶意网站.
解决方案 : 对此的保护与iSQL相同.
不安全的直接对象引用
当开发人员公开对内部实现对象(如文件,目录或数据库键)的引用时,会发生直接对象引用.如果没有访问控制检查或其他保护,攻击者可以操纵这些引用来访问未经授权的数据.
解决方案 : 您应该实施特定的保护机制,例如密码,以保护此类文件.
安全配置错误
良好的安全性要求为其定义和部署安全配置应用程序,框架,应用程序服务器,Web服务器,数据库服务器和平台.应该定义,实施和维护安全设置,因为默认设置通常是不安全的.
解决方案 : 软件应保持最新.
敏感数据曝光
许多网络应用程序无法正确保护敏感数据,例如信用卡,税号和身份验证凭据.攻击者可能窃取或修改此类受到弱保护的数据,以进行信用卡欺诈,身份盗窃或其他犯罪行为.
解决方案 : 敏感数据需要额外的保护,例如静止或传输时的加密,以及与浏览器交换时的特殊预防措施.
缺少功能级访问控制
大多数Web应用程序在UI中显示该功能之前验证功能级别访问权限.但是,应用程序需要在访问每个函数时对服务器执行相同的访问控制检查.如果未经验证请求,攻击者将能够在未经适当授权的情况下伪造访问功能的请求.
解决方案 : 您应该检查身份验证级别.
跨站点请求伪造(CSRF)
CSRF攻击强制登录受害者的浏览器发送伪造的HTTP请求,包括受害者的会话cookie和任何其他自动包含的身份验证信息,到易受攻击的Web应用程序.这允许攻击者强制受害者的浏览器生成易受攻击的应用程序认为是来自受害者的合法请求的请求.
解决方案 : 最常用的预防措施是将一些不可预测的基于令牌的标记附加到来自网站的每个请求,并将它们与用户的会话相关联.
使用具有已知漏洞的组件
组件(如库,框架和其他软件模块)几乎总是以完全权限运行.如果利用易受攻击的组件,这种攻击可能会导致严重的数据丢失或服务器接管.使用具有已知漏洞的组件的应用程序可能会破坏应用程序防御并实现一系列可能的攻击和影响.
解决方案 : 检查该组件版本是否存在漏洞并尝试避免或更改其他版本.
无效重定向和转发
Web应用程序经常重定向和转发用户到其他页面和网站.这些应用程序使用不受信任的数据来确定目标页面.如果没有经过适当的验证,攻击者可以将受害者重定向到网络钓鱼或恶意软件站点,或者使用转发来访问未经授权的页面.
解决方案 : 始终验证URL.
安全使用的协议
这是您拥有VPS计划并且您自己管理所有内容的情况.安装服务后,它们使用默认端口.这使得黑客的工作更容易,因为他知道在哪里查看.
用于托管网站的一些主要服务端口在下面和下面给出;
SSH - 端口22
FTP - 端口21
MySQL - 端口3306
DNS - 端口53
SMTP - 端口25
这些服务的端口更改因操作系统及其不同版本而异.除此之外,您还必须安装防火墙.如果是Linux操作系统,我们建议 IPtables 并阻止所有其他不需要的端口.如果你的操作系统是Windows,你可以使用它的内置防火墙.
要阻止服务中的暴力登录,你可以使用 Fail2ban ,这是一个Linux基于软件并阻止所有IP地址,这使得许多登录尝试失败.