|
隨著互聯(lián)網(wǎng)技術(shù)越來(lái)越發(fā)達(dá)�����,網(wǎng)站的樣式以及功能也是日益更新��,很多企業(yè)的網(wǎng)站還是老樣式�,已經(jīng)不適應(yīng)現(xiàn)在瀏覽器的寬屏模式,有時(shí)候會(huì)導(dǎo)致網(wǎng)站的錯(cuò)亂和打不開�����,所以網(wǎng)站建設(shè)久了以后改版還是由必要的���。 而且最近有很多已經(jīng)有網(wǎng)站的客戶反應(yīng)自己網(wǎng)站存在很多的漏洞��。漏洞的存在會(huì)對(duì)您的網(wǎng)站安全造成威脅和帶來(lái)不必要的損失��。 (一)敏感目錄����、文件泄漏 漏洞危害:Web應(yīng)用程序顯露了某些敏感文件,此信息可以幫助攻擊者對(duì)站點(diǎn)進(jìn)一步的攻擊�。主要危害包括:一是讀取網(wǎng)站文件、系統(tǒng)文件��;二是獲得敏感信息����,例如用戶名、密碼�����;三是與其它漏洞結(jié)合�����,修改系統(tǒng)設(shè)置�,查看系統(tǒng)文件�,執(zhí)行系統(tǒng)命令等。 應(yīng)對(duì)措施:一是修改復(fù)雜的文件名稱�����,并設(shè)置相應(yīng)的訪問(wèn)權(quán)限;二是從站點(diǎn)中除去不需要的文件���;三是刪除文件中不必要的敏感信息片段�����;四是默認(rèn)的Web應(yīng)用程序后臺(tái)登陸地址���,建議將該目錄更改為其他名稱,以防惡意攻擊者猜測(cè)到�����;五是刪除臨時(shí)文件���、用戶歷史文件等信息���。 (二)SQL注入漏洞 涉及單位:萬(wàn)州經(jīng)開區(qū)、區(qū)經(jīng)濟(jì)信息委�、區(qū)城鄉(xiāng)建委、區(qū)國(guó)資委����、區(qū)人社局��、區(qū)信息中心等單位網(wǎng)站或業(yè)務(wù)系統(tǒng)存在SQL注入漏洞�����。 漏洞危害:用戶可以提交一段數(shù)據(jù)庫(kù)查詢代碼����,根據(jù)程序返回的結(jié)果�,獲得某些重要敏感數(shù)據(jù)。SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的常用手段之一�。 應(yīng)對(duì)措施:一是修改數(shù)據(jù)庫(kù)語(yǔ)句,二是增加網(wǎng)頁(yè)中類似輸入框的校驗(yàn)���,使一些非法輸入不能成功提交至服務(wù)器端。 做好網(wǎng)絡(luò)安全工作和網(wǎng)站改版都是有必要的�。這些工作都要找專業(yè)的萬(wàn)州網(wǎng)站建設(shè)公司來(lái)處理。
|
