下面是OMG的小编辑器,用于收集和整理文章,希望对你有所帮助。


1。概述


网站安全主要从网络安全、主机系统安全、web服务安全和页面数据安全等方面进行检测。


2,Web服务安全保护


2.1 Web应用程序安全检测


(1)对于商业软件,如Oracle、Apache和其他通用组件系统,我们应该根据制造商或第三方安全机构提供的安全配置增强列表来设置安全设置。安全发布启动后,安全补丁应该及时更新。


(二)我们应该定期扫描应用程序系统中的漏洞,采用通用程序(如Apache、WebSphere等)并及时解决问题。扫描应在非关键业务期间进行,并制定详细的回滚计划。


(三)隐藏Apache的版本号和其他敏感信息。


默认情况下,许多Apache安装显示版本号和操作系统版本,甚至是Apache模块安装在服务器上,这些信息可以被黑客利用,黑客也可以学习,设置你的服务器配置多是默认。Lsquo;


这里有两个报表,你需要增加你的httpd.conf文件:


ServerSignature Off


ServerTokens Prod


serversignature出现在一个页面就像一个404页的底部,一个目录列表,所以在Apache,servertoken目录是用来确定哪些信息将在Apache服务器的HTTP响应包的头。如果ServerTokens是集产品、HTTP将在包头成立。


服务器:Apache


(四)确保Web根目录之外的文件不提供服务。


拒绝Apache访问Web根目录之外的任何文件。假设您的所有网站文件都放在目录中(例如,Web),您可以将其设置为如下所示:


订单拒绝,允许


所有否认


没有一个选择


创建一个


命令允许,拒绝


允许所有


注意,因为他没有和opitins AllowOverride none,这会关闭所有的选项和服务器ocerride。每个目录必须显式设置选项或重写。


(五)关闭目录浏览


这个函数通过目录标签中的选项命令实现。


(六)密切包括


通过使用目录标记中的选项命令。设备选项是无或-包括。


选项包括


(七)关闭CGI执行程序


如果你不使用CGI,关掉它。设置选项为目录中的标签没有或mdash;mdash;execcgi可以:


选择execcgi mdash;


(八)禁止Apache遵循符号连接


以同样的方式,将此选项设置为None或mdash;FollowsymLinks:


选择followsymlinks mdash;


2.2 web站点代码安全检测


(1)使用最新版本的Web服务程序;


(二)利用最低权力原则建立一个专门的账户来运行Web服务和数据库服务。


(三)将网站与数据库分开,并禁止在同一服务器上运行的Web服务和数据库服务。


(四)合理配置Web服务,如IIS和Apache,以防止目录权限、写入权限、文件下载等漏洞。


(五)加强对网站代码的安全,严格对互联网用户的Web数据库提交过滤,防止SQL注入,比如我,_;;;而且,exec,or,等:


(六)为互联网用户提交URL,对消息内容进行严格过滤,防止跨站点攻击,如:;;脚本;;(、)等;


(七)必须严格限制外部网站的上传功能。我们需要提高上传文件的格式和内容,搜索病毒,防止互联网用户上传恶意代码。


(八)设置后台管理目录,不可猜测,防止后台管理的暴力行为。