网站安全的终极解决之WEB

网站安全问题，自从有了网站那天，特别是黑客出现，成了网站运营人员的心中紧张的一根弦。网站安全分为两部分，即服务器的安全、网站程序的安全。　　服务器的安全这里就不去讨论，有人会说，如果侵入了服务器怎么办?徽剑在这只有一个回答，侵入了服务器，等于控制了服务器，假如人家都可以把你的硬盘拿走，你还能咋办。　　这里来讨论如何控制网站程序的安全。　　网站程序的安全其实来源于程序漏洞和配置上的漏洞。比如程序上的漏洞如上传漏洞、文件夹权限漏洞等。配置漏洞如管理员弱密码等。徽剑在这里将告诉你，即使你网站程序有漏洞，配置也有漏洞，还是可以做到很高安全，　　使用简单的几步，可以跟轻松解决大多数漏洞。　　那么就跟着徽剑来看看吧。　　1，程序开发时，将后台程序与前台程序分开，后台程序只操作数据库。如果涉及图片之类，可以采用绝对路径，调用前台程序的图片等附件存储地址。　　写程序的时候，需要培养一个好的习惯，就是不要在前台设置进行高等级操作权限，比如论坛，就要把管理员和版主分开，前台最高权限只能是版主，这样即使前台被侵入，获得的最高权限也不足以威胁网站。　　无论如何不要为了图方便，让管理员可以在前台操作影响全站的设置功能，假如网站被侵入，获得了管理员的权限，那么可以轻易的通过前台程序修改网站数据，包括如管理员的密码等。　　2，网站安装时，在服务器上建立两个站点，一个是www.***.com用于网站访问，简称A站，一个是admin.***.com用于管理网站，简称B站。　　将数据连接文件分别复制到A站和B站，如果是ACCESS数据库则将数据连接地址修改为绝对路径。如果是MSSQL、MYSQL则将数据连接改成一样即可。实现了这一步，则解决了数据库连接问题，即后台B站修改了数据库内数据，A站也会同步显示修改结果。　　这种设置，对于前后台完全分离，仅通过数据库共享数据的网站程序已经足够。　　但是还有几个地方，即附件和生成等还不行，因为很多网站系统默认是通过后台来读网站地址，因此，需要将附件上传的地址，修改下，改成A站附件目录在服务器内的绝对地址，即与B站共享一个文件夹，这样，后台B站一上传图片等附件，附件会自动放在A站的附件目录。　　有些特殊页面如生成网页页面，可以把B站生成的目录改成A站在服务器上的绝对地址链接。即B站生成时，直接写到服务器上某个文件夹，这个文件夹就是A站存储静态页面的地址。　　此外如果部分页面是A站、B站互动的，即需要把B站提交的数据，通过动态页面传递给A站内某个页面，这时可以采用绝对路径进行提交。　　3，进一步配置网站，A站可以按照一般网站配置，B站配置比较关键，首先把B站设定为需要HTTPS才可访问，这样就避免了一批嗅探软件捕获密码数据。然后将B网站设定为需要验证才可以访问，这么一来，把B网站的安全登录交给了服务器来管理，　　这样一来，A网站即使有漏洞，也无法获得网站后台管理权限。　　不知道大家看到没有，这种配置的方式在于尽可能把具有最高权限的管理页面屏蔽起来。在A站上，注意文件夹的权限，附件目录一定不要有哪怕是脚本执行权限。　　如果做到这一步，已经能够解决一大批安全问题，如果你还想进一步加强安全性，那么可以设置硬件绑定或者U盾(即加密狗)绑定来登录B站。　　硬件绑定，即事先将需要登录后台的电脑硬件ID储存在服务器上，如硬盘的序列号、CPU的序列号，这个序列号是全球唯一的，通过登录时服务器通过WEB页面调取客户端的数据，来判断是否指定的电脑。如果是则容许其登陆，如果不是则不容许其登陆。　　这样方式需要用户有一定开发能力，需要在客户端即浏览器端内嵌插件，因为普通的浏览器是无法读取硬件ID的。不过INPLA客户端浏览组件小白浏览器内置电脑硬件ID读取组件，用户无需再去开发和安装插件，直接使用小白浏览器即可。也许有人会问这样是不是会侵犯用户隐私，回答是不会的，因为小白浏览器在发现WEB页面有读取硬件ID请求时，会弹出窗口请求用户确认，只有当用户确认容许当前页面通过小白浏览器读取硬件ID时，小白浏览器才会向指定网站地址发送。　　这种绑定硬件的方式，需要实现读取指定电脑，更换电脑就需要重新读取设置。同时可以通过设定电脑与用户名的绑定，从而实现进一步的安全。　　还有一种更傻瓜化的设定，那就是使用我们开发的加密狗管控服务器登录。　　即在服务器上设定某个网站需要U盾(即加密狗)绑定客户端才可以登陆，采用双向认证，即客户端需要判断和登录指定网站，而服务器端则通过WEB页面通过客户端读取到有U盾(即加密狗)上根据服务器端数据进行计算的数据，才容许登陆，就像各大银行的U盾那样。而且U盾具有可移动和内置CPU，具备强大的加密功能。　　如果客户端上面没有配置指定的U盾，那么他连B站的网页都无法访问，不要说登陆寻找漏洞，这种比用硬件绑定更加方便，可以用U盾绑定用户名，来实现登陆指定网站。目前INPLA客户端浏览组件小白浏览器内嵌有U盾的读取接口，只要使用了我们的U盾登陆管理，您就可以拥有跟网上银行一样的安全级别。如果您对每个加密狗的价格仅为50元左右，双重认证无法破解。　　其实这种方式，不仅可以用于后台登陆，还可以用于电子商务网站、网上证券等高安全要求登陆。还可以实现，更绝的可以变换域名登陆。


	
				
	
					   
网站安全的终极解决之WEB
	  	   
ASP.NET之Web打印－终极解决篇
	  	   
ASP.NET之Web打印－终极解决篇
	  	   
NoClassDeFoundException-----解决的终极之道
	  	   
WEB安全之解决CC攻击
	  	   
打造系统的终极安全````
	  	   
Linux下Web服务器应用之网站安全-https
	  	   
史上最全的dede安全设置之织梦安全设置终极篇
	  	   
adb 命令之 终极解决
	  	   
adb 命令之 终极解决
	  	   
Java Web禁止浏览器缓存的终极之道
	  	   
“汉语编程”是解决安全问题的终极之路？
	  	   
web安全：防止浏览器记住或自动填写用户名和密码(表单)的终极解决方案
	  	   
网站短信注册的安全之忧
	  	   
网站安全之设置HttpOnly的方法
	  	   
网站主机安全之服务器的物理安全
	  	   
PHP安全编程之网站安全设计的一些原则
	  	   
安全的复杂之处：安全web请求的架构
	     		  
	  	   
S3C6410 按键驱动(四) --- 内核定时器的使用
	  	   
Android 开发中常见的Eclipse排版设置
	  	   
埋藏
	  	   
notifyDataSetChanged() 动态更新ListView 通过 Handler AsyncTask两种方式
	  	   
Android程序中有多个Activity时的完美退出方法
	  	   
网站安全的终极解决之WEB
	  	   
apache2 ssl 双向认证
	  	   
关于InnoDB表如何设计索引的小结
	  	   
gallery一屏幕显示一张图片
	  	   
FORM 更新多表视图(Form直接更新View对应的数据表)
	  	   
从char/wchar_t到TCHAR
	  	   
VirtualBox 添加硬盘
	  	   
CListCtrl中的HitTest、SubItemHitTest的用法
	  	   
利用Cookies（或Session）制作登录页面！