談起網(wǎng)站安全這個(gè)問(wèn)題�����,我真的有點(diǎn)十分感觸�����,在國內做網(wǎng)站建設的站長(cháng)朋友��,只要網(wǎng)站有流量的���,有發(fā)展潛力的�����。網(wǎng)站多多少少都遇過(guò)網(wǎng)站安全的問(wèn)題�,諸如虛擬主機訪(fǎng)問(wèn)延遲���、服務(wù)器被入侵�、網(wǎng)站被黑客掛馬等等的網(wǎng)站安全問(wèn)題�。這次我以網(wǎng)站安全問(wèn)題為話(huà)題����,談一談網(wǎng)站建設中需要注意的網(wǎng)站安全���。
目前�,黑客攻擊網(wǎng)站已成為一個(gè)很?chē)乐氐木W(wǎng)絡(luò )網(wǎng)站安全問(wèn)題�����。許多黑客甚至可以突破SSL加密和各種防火墻���,攻入Web網(wǎng)站的內部�,竊取信息���。黑客可以?xún)H憑借瀏覽器和幾個(gè)技巧�,即套取Web網(wǎng)站的客戶(hù)信用卡資料和其它保密信息��。嚴重威脅著(zhù)網(wǎng)站安全�。
隨著(zhù)防火墻和補丁管理已逐漸走向規范化��,各類(lèi)網(wǎng)絡(luò )設施應該是比以往更完全�。但不幸的是��,道高一尺����,魔高一丈�����,黑客們已開(kāi)始直接在應用層面對Web網(wǎng)站下手�。要增強Web網(wǎng)站的安全性��,首先要澄清關(guān)于網(wǎng)站安全的五個(gè)誤解����。
一�����、網(wǎng)站安全的誤區之“Web網(wǎng)站使用了SSL加密��,所以很安全”
網(wǎng)站建設單靠SSL加密無(wú)法保障網(wǎng)站的安全��。網(wǎng)站啟用SSL加密后��,表明該網(wǎng)站發(fā)送和接收的信息都經(jīng)過(guò)了加密處理�,但是SSL無(wú)法保障存儲在網(wǎng)站里的信息的安全���。許多網(wǎng)站采用了128位SSL加密����,但還是被黑客攻破�。此外�,SSL也無(wú)法保護網(wǎng)站訪(fǎng)問(wèn)者的隱私信息�����。這些隱私信息直接存在網(wǎng)站服務(wù)器里面����,這是SSL所無(wú)法保護的�����。
二���、網(wǎng)站安全的誤區之“Web網(wǎng)站使用了防火墻���,所以很安全”
防火墻有訪(fǎng)問(wèn)過(guò)濾機制���,但還是無(wú)法應對許多惡意行為�。許多網(wǎng)上商店���、拍賣(mài)網(wǎng)站和BBS都安裝了防火墻�����,但依然脆弱��。防火墻通過(guò)設置“訪(fǎng)客名單”�,可以把惡意訪(fǎng)問(wèn)排除在外��,只允許善意的訪(fǎng)問(wèn)者進(jìn)來(lái)���。但是���,如何鑒別善意訪(fǎng)問(wèn)和惡意訪(fǎng)問(wèn)是一個(gè)問(wèn)題�。訪(fǎng)問(wèn)一旦被允許��,后續的安全問(wèn)題就不是防火墻能應對了����。
三�、網(wǎng)站安全的誤區之“漏洞掃描工具沒(méi)發(fā)現任何問(wèn)題����,所以很安全”
自1990年代初以來(lái)����,漏洞掃描工具已經(jīng)被廣泛使用���,以查找一些明顯的網(wǎng)絡(luò )安全漏洞���。但是����,這種工具無(wú)法對網(wǎng)站應用程序進(jìn)行檢測����,無(wú)法查找程序中的漏洞���。
漏洞掃描工具生成一些特殊的訪(fǎng)問(wèn)請求���,發(fā)送給Web網(wǎng)站���,在獲取網(wǎng)站的響應信息后進(jìn)行分析�����。該工具將響應信息與一些漏洞進(jìn)行對比���,一旦發(fā)現可疑之處即報出安全漏洞���。目前�,新版本的漏洞掃描工具一般能發(fā)現網(wǎng)站90%以上的常見(jiàn)安全問(wèn)題��,但這種工具對網(wǎng)站應用程序也有很多無(wú)能為力的地方�����。
四�����、網(wǎng)站安全的誤區之“網(wǎng)站應用程序的安全問(wèn)題是程序員造成的”
程序員確實(shí)造成了一些問(wèn)題�,但有些問(wèn)題程序員無(wú)法掌控���。
比如說(shuō)��,應用程序的源代碼可能最初從其它地方獲得��,這是公司內部程序開(kāi)發(fā)人員所不能控制的�����;蛘�,公司可能會(huì )請一些離岸的開(kāi)發(fā)商作一些定制開(kāi)發(fā)����,與原有程序整合��,這其中也可能會(huì )出現問(wèn)題������;蛘���,一些程序員會(huì )拿來(lái)一些免費代碼做修改�����,這也隱藏著(zhù)安全問(wèn)題�。再舉一個(gè)極端的例子��,可能有兩個(gè)程序員來(lái)共同開(kāi)發(fā)一個(gè)程序項目����,他們分別開(kāi)發(fā)的代碼都沒(méi)有問(wèn)題�����,安全性很好���,但整合在一起則可能出現安全漏洞�����。
很現實(shí)地講�����,軟件總是有漏洞的����,這種事每天都在發(fā)生��。安全漏洞只是眾多漏洞中的一種���。加強員工的培訓����,確實(shí)可以在一定程度上改進(jìn)代碼的質(zhì)量�。但需要注意�,任何人都會(huì )犯錯誤��,漏洞無(wú)可避免��。有些漏洞可能要經(jīng)過(guò)許多年后才會(huì )被發(fā)現�。
五��、網(wǎng)站安全的誤區之“我們每年會(huì )對Web網(wǎng)站進(jìn)行安全評估���,所以很安全”
一般而言�����,網(wǎng)站應用程序的代碼變動(dòng)很快�。對Web網(wǎng)站進(jìn)行一年一度的安全評估非常必要���,但評估時(shí)的情況可能與當前情況有很大不同���。網(wǎng)站應用程序只要有任何改動(dòng)�����,都會(huì )出現安全問(wèn)題的隱患��。
網(wǎng)站喜歡選在節假日對應用程序進(jìn)行升級�,圣誕節就是很典型的一個(gè)旺季�。網(wǎng)站往往會(huì )增加許多新功能�,但卻忽略了安全上的考慮�����。如果網(wǎng)站不增加新功能��,這又會(huì )對經(jīng)營(yíng)業(yè)績(jì)產(chǎn)生影響��。網(wǎng)站應該在程序開(kāi)發(fā)的各個(gè)階段都安排專(zhuān)業(yè)的安全人員��。
微信關(guān)注
網(wǎng)站導航
