大家在運(yùn)營(yíng)網(wǎng)站的時(shí)候都會(huì)把網(wǎng)站掛在百度站長(zhǎng)工具，360安全平臺(tái)等上面進(jìn)行檢測(cè)，是不是得登陸平臺(tái)檢查一下網(wǎng)站在php空間中是否安全，網(wǎng)站是否存在漏洞等等問(wèn)題，省去了自己去檢查時(shí)間和心里，沒(méi)有檢測(cè)出還沒(méi)有什么大礙，一旦互聯(lián)網(wǎng)提供的工具檢查出來(lái)了些什么，心里就跟一盆涼水從頭上澆下，就和雪碧廣告詞一樣：透心涼，心飛揚(yáng)。那么檢測(cè)出來(lái)了問(wèn)題，我們需要做什么，有沒(méi)有準(zhǔn)確一點(diǎn)的解決方案呢？ 解決方案當(dāng)然是有的，只是知識(shí)點(diǎn)太多，需要整理的方法和方案也相對(duì)較多，如果你愛(ài)收集也是可以自己整理一套出來(lái)的；下面無(wú)憂(yōu)小編就花了點(diǎn)時(shí)間整理了一些網(wǎng)站運(yùn)營(yíng)時(shí)常遇到的問(wèn)題和解決方案，希望對(duì)大家有所幫助！ 在下面的解決方案中有關(guān)于：SQL注入漏洞、XSS跨站腳本漏洞、頁(yè)面存在源代碼泄露、網(wǎng)站存在備份文件、網(wǎng)站存在目錄瀏覽漏洞、網(wǎng)站存在phpinfo文件、網(wǎng)站存在日志信息文件、網(wǎng)站存在JSP示例文件、頁(yè)面上存在數(shù)據(jù)庫(kù)信息、頁(yè)面上存在網(wǎng)站程序的調(diào)試信息、網(wǎng)站存在后臺(tái)登錄地址等等： 站長(zhǎng)工具檢測(cè)出網(wǎng)站存在SQL注入漏洞問(wèn)題的解決方案： 首先要知道，解決SQL注入漏洞的關(guān)鍵是對(duì)所有來(lái)自用戶(hù)輸入的數(shù)據(jù)進(jìn)行嚴(yán)格檢查、對(duì)數(shù)據(jù)庫(kù)配置使用最小權(quán)限原則；所有的查詢(xún)語(yǔ)句都使用數(shù)據(jù)庫(kù)提供的參數(shù)化查詢(xún)接口，參數(shù)化的語(yǔ)句使用參數(shù)而不是將用戶(hù)輸入變量嵌入到SQL語(yǔ)句中。 那么我們需要做到有以下幾點(diǎn)： 1．對(duì)進(jìn)入數(shù)據(jù)庫(kù)的特殊字符（&#39;&quot;\&lt;&gt;&amp;*;等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換。 2．確認(rèn)每種數(shù)據(jù)的類(lèi)型，比如數(shù)字型的數(shù)據(jù)就必須是數(shù)字，數(shù)據(jù)庫(kù)中的存儲(chǔ)字段必須對(duì)應(yīng)為int型。 3．?dāng)?shù)據(jù)長(zhǎng)度應(yīng)該嚴(yán)格規(guī)定，能在一定程度上防止比較長(zhǎng)的SQL注入語(yǔ)句無(wú)法正確執(zhí)行。 4．網(wǎng)站每個(gè)數(shù)據(jù)層的編碼統(tǒng)一，建議全部使用UTF-8編碼，上下層編碼不一致有可能導(dǎo)致一些過(guò)濾模型被繞過(guò)。 5．嚴(yán)格限制網(wǎng)站用戶(hù)的數(shù)據(jù)庫(kù)的操作權(quán)限，給此用戶(hù)提供僅僅能夠滿(mǎn)足其工作的權(quán)限，從而最大限度的減少注入攻擊對(duì)數(shù)據(jù)庫(kù)的危害。 6．避免網(wǎng)站顯示SQL錯(cuò)誤信息，比如類(lèi)型錯(cuò)誤、字段不匹配等，防止攻擊者利用這些錯(cuò)誤信息進(jìn)行一些判斷。 7．在網(wǎng)站發(fā)布之前，建議在本地使用一些專(zhuān)業(yè)的SQL注入檢測(cè)工具進(jìn)行檢測(cè)，及時(shí)修補(bǔ)這些SQL注入漏洞。 關(guān)于站長(zhǎng)工具檢測(cè)出的XSS跨站腳本漏洞問(wèn)題： 嘗試過(guò)濾參數(shù)，對(duì)用戶(hù)輸出進(jìn)行轉(zhuǎn)義或者過(guò)濾。一般<>/\^"'這些如果不需要都過(guò)濾一遍，其對(duì)應(yīng)的轉(zhuǎn)義也記得過(guò)濾一下，安全性就會(huì)提高，那么我該怎么操作呢？ 1．假定所有輸入都是可疑的，必須對(duì)所有輸入中的script、iframe等字樣進(jìn)行嚴(yán)格的檢查。這里的輸入不僅僅是用戶(hù)可以直接交互的輸入接口，也包括HTTP請(qǐng)求中的Cookie中的變量，HTTP請(qǐng)求頭部中的變量等。 2．不要僅僅驗(yàn)證數(shù)據(jù)的類(lèi)型，還要驗(yàn)證其格式、長(zhǎng)度、范圍和內(nèi)容。 3．不要僅僅在客戶(hù)端做數(shù)據(jù)的驗(yàn)證與過(guò)濾，關(guān)鍵的過(guò)濾步驟在服務(wù)端進(jìn)行。 4．對(duì)輸出的數(shù)據(jù)也要檢查，數(shù)據(jù)庫(kù)里的值有可能會(huì)在一個(gè)大網(wǎng)站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點(diǎn)時(shí)也要進(jìn)行安全檢查。 5．在網(wǎng)站發(fā)布之前，建議讓測(cè)試人員多檢測(cè)幾遍，盡量排除避免所有已知的威脅。 關(guān)于提示頁(yè)面存在源代碼泄露問(wèn)題： 解決方法如下： 1. 確定好虛擬主機(jī)空間語(yǔ)言解析（支持的編程語(yǔ)言類(lèi)型），防止解析失敗而導(dǎo)致源碼泄露。 2. 關(guān)閉網(wǎng)站錯(cuò)誤調(diào)試機(jī)制，讓報(bào)錯(cuò)提示全部顯示白屏不顯示，防止因?yàn)閳?bào)錯(cuò)而導(dǎo)致源碼泄露。 關(guān)于網(wǎng)站存在備份文件問(wèn)題：如果網(wǎng)站備份文件在網(wǎng)站根目錄下面，可以直接下載的話，那么就一定要?jiǎng)h除備份文件，或者將這類(lèi)文件從網(wǎng)站根目錄目錄下移走。目的是為了避免給別人直接下載的機(jī)會(huì)，從而泄露數(shù)據(jù)。 關(guān)于網(wǎng)站存在目錄瀏覽漏洞問(wèn)題：關(guān)閉Web容器（如IIS/Apache等）的目錄瀏覽功能，PHP空間想實(shí)現(xiàn)這個(gè)功能都需要FTP賬號(hào)，F(xiàn)TP密碼和IP地址才能實(shí)現(xiàn)，當(dāng)然，站長(zhǎng)工具有這個(gè)提示沒(méi)關(guān)系，因?yàn)槟阕约菏强梢阅夸洖g覽，無(wú)憂(yōu)小編提醒大家要保管好各自的虛擬主機(jī)信息。 關(guān)于網(wǎng)站存在phpinfo文件（探針文件）：刪除檢測(cè)出的PHPinfo文件，或者探針文件。檢測(cè)完無(wú)憂(yōu)主機(jī)PHP空間的性能之后，記得把該文件刪除。附無(wú)憂(yōu)主機(jī)PHP探針。 關(guān)于網(wǎng)站存在網(wǎng)站日志信息文件：假若網(wǎng)站日志信息文件在網(wǎng)站根目錄，那么可以刪除檢測(cè)出的日志信息文件。因?yàn)榫W(wǎng)站日志文件記錄著你網(wǎng)站一天的實(shí)時(shí)數(shù)據(jù)，哪個(gè)IP地址訪問(wèn)你的網(wǎng)站，通過(guò)什么協(xié)議在哪個(gè)時(shí)間通過(guò)什么方式訪問(wèn)了哪個(gè)頁(yè)面信息等，請(qǐng)點(diǎn)擊如何看懂網(wǎng)站日志（APACHE日志）。 關(guān)于網(wǎng)站存在JSP示例文件：很多站長(zhǎng)喜歡測(cè)試新功能，卻忘記刪除JSP示例測(cè)試文件，如果示例文件內(nèi)里面含有很多你不知道的內(nèi)容，有程序后門(mén)存在，存在漏洞不就是一顆定時(shí)炸彈嗎，不是非常重要就刪除吧。 關(guān)于頁(yè)面上存在數(shù)據(jù)庫(kù)信息：關(guān)閉數(shù)據(jù)庫(kù)的錯(cuò)誤調(diào)試機(jī)制，防止因?yàn)镾QL語(yǔ)句錯(cuò)誤導(dǎo)致數(shù)據(jù)庫(kù)報(bào)錯(cuò)信息顯示到頁(yè)面上。無(wú)憂(yōu)小編就喜歡Discuz程序，他會(huì)提示數(shù)據(jù)庫(kù)錯(cuò)誤，然后就是錯(cuò)誤代碼。 關(guān)于頁(yè)面上存在網(wǎng)站程序的調(diào)試信息：關(guān)閉網(wǎng)站程序的調(diào)試機(jī)制，這個(gè)機(jī)制經(jīng)常被用于網(wǎng)站的測(cè)試調(diào)試，該機(jī)制能顯示出很詳細(xì)的網(wǎng)站報(bào)錯(cuò)信息，程序技術(shù)員就是平時(shí)就是通過(guò)這種網(wǎng)站報(bào)錯(cuò)信息來(lái)修改維護(hù)網(wǎng)站的，一旦調(diào)試完成，請(qǐng)關(guān)閉程序調(diào)試機(jī)制。 關(guān)于網(wǎng)站存在后臺(tái)登錄地址： 1.將后臺(tái)登錄地址隱藏的深一點(diǎn)，改個(gè)不容易猜到的路徑，特別是很多開(kāi)源程序的后臺(tái)地址都是默認(rèn)設(shè)定的，為了安全一定要改！ 2.配置好后臺(tái)登錄地址的訪問(wèn)權(quán)限，比如只允許某個(gè)IP或IP段的用戶(hù)訪問(wèn)。網(wǎng)站存在敏感目錄：這些目錄經(jīng)常用于存放敏感的文件，可以考慮從網(wǎng)站目錄中分離出，或改個(gè)不易猜測(cè)到的路徑。

本文地址：http://www.gle-technology.com/others/17994.html