网站程序的安全性
更新时间:2014/2/17 点击:1802次
1代码漏洞安全问题。产生这种漏洞的主要原因是网站程序代码编写的不完善造成的.而这种不完善的代码极有可能会暴露网站的数据库或后台管理等重要的安全信息(下文均以ASP为例)。(1)数据库连接字串的某些错误导致WEBI~.务器锚误提示,而这些错误提示中可能会含有数据库或表等重要信息。(2)对页面参数不作任何判定导致所谓的SQLInjection,即SQL注入从而泄漏用户信息。这种安全漏洞是2004年以来网站信息安全的最大隐患,而国内许多网站建设网站并没有采取相应的安全措施,导致网站建设网站很容易被攻破。(3)企业后台管理程序中只有主程序要求管理员的身份信息,而其它管理页面却忽视了身份验证信息,这种疏忽使非法用户可能通过直接输入后台的某个管理页面的形式进入到后台管理中去,如果正好有管理员密码修改的页面出现此问题,则会导致网站后台的完全暴露。
2.后台管理程序文件的安全问题。如今很多数企业采用后台管理的方式对网站建设网站进行管理,网站建设网站后台的入13安全是许多企业忽视的问题。例如很多网站建设网站后台入13通常会采用Admin.aspIogin.asp、Iogout.asp等常见形式.也有的网站竟然在网面上链接出管理入13,这样,非法用户很容易就能找到网站的后台管理入13,成为网站建设网站安全的重大隐患对于以上安全问题的解决方法是更改网站的后台入13路径.最好是设定一个不易被猜解到的目录和文件名,同时尽可能不要在前台页面上暴露出后台的管理入13。3弱13令和13令加密安全问题。尽管大多数企业认识到了13令的安全问题,但还是有不少的企业忽视了这个问题。(1)网站管理13令安全问题。①弱13令问题。有些管理员为了记忆方便.会以Admin、Admin888managerwebmaster等作为管理员的用户名.同样,也有用AdminAdmin88812345888888等来作为管理员密码,数据库以sA为用户名,留空密码等,这些弱13令是很容易被黑客猜测到的。②明文密码问题。很多企业的管理员密码都采用明文来保存,这样的明文密码是最不安全的因素之一,通过SQL注入很容易就能猎取数据库中的明文密码。③简单13令加密问题。一些网站设计人员有时只是对13令进行简单的对称加密.这种经过简单的对称加密密文用现在的Pc机器可以在较短的时间内解密成明文,因此也是不可取的。(2)网站管理13令安全策略。①杜绝使用弱口令,以避免安全隐患,可以采用字母+数字+符号字符,并超过8位以上的密码。②强制对所有用户密码加密,最好采用非对称加密或采用不可逆的运算,如使用32位的MD5码。