大家在運(yùn)營網(wǎng)站的時候都會把網(wǎng)站掛在百度站長工具，360安全平臺等上面進(jìn)行檢測，是不是得登陸平臺檢查一下網(wǎng)站在php空間中是否安全，網(wǎng)站是否存在漏洞等等問題，省去了自己去檢查時間和心里，沒有檢測出還沒有什么大礙，一旦互聯(lián)網(wǎng)提供的工具檢查出來了些什么，心里就跟一盆涼水從頭上澆下，就和雪碧廣告詞一樣：透心涼，心飛揚(yáng)。那么檢測出來了問題，我們需要做什么，有沒有準(zhǔn)確一點(diǎn)的解決方案呢？ 解決方案當(dāng)然是有的，只是知識點(diǎn)太多，需要整理的方法和方案也相對較多，如果你愛收集也是可以自己整理一套出來的；下面無憂小編就花了點(diǎn)時間整理了一些網(wǎng)站運(yùn)營時常遇到的問題和解決方案，希望對大家有所幫助！ 在下面的解決方案中有關(guān)于：SQL注入漏洞、XSS跨站腳本漏洞、頁面存在源代碼泄露、網(wǎng)站存在備份文件、網(wǎng)站存在目錄瀏覽漏洞、網(wǎng)站存在phpinfo文件、網(wǎng)站存在日志信息文件、網(wǎng)站存在JSP示例文件、頁面上存在數(shù)據(jù)庫信息、頁面上存在網(wǎng)站程序的調(diào)試信息、網(wǎng)站存在后臺登錄地址等等： 站長工具檢測出網(wǎng)站存在SQL注入漏洞問題的解決方案： 首先要知道，解決SQL注入漏洞的關(guān)鍵是對所有來自用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格檢查、對數(shù)據(jù)庫配置使用最小權(quán)限原則；所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口，參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中。 那么我們需要做到有以下幾點(diǎn)： 1．對進(jìn)入數(shù)據(jù)庫的特殊字符（&#39;&quot;\&lt;&gt;&amp;*;等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換。 2．確認(rèn)每種數(shù)據(jù)的類型，比如數(shù)字型的數(shù)據(jù)就必須是數(shù)字，數(shù)據(jù)庫中的存儲字段必須對應(yīng)為int型。 3．?dāng)?shù)據(jù)長度應(yīng)該嚴(yán)格規(guī)定，能在一定程度上防止比較長的SQL注入語句無法正確執(zhí)行。 4．網(wǎng)站每個數(shù)據(jù)層的編碼統(tǒng)一，建議全部使用UTF-8編碼，上下層編碼不一致有可能導(dǎo)致一些過濾模型被繞過。 5．嚴(yán)格限制網(wǎng)站用戶的數(shù)據(jù)庫的操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的權(quán)限，從而最大限度的減少注入攻擊對數(shù)據(jù)庫的危害。 6．避免網(wǎng)站顯示SQL錯誤信息，比如類型錯誤、字段不匹配等，防止攻擊者利用這些錯誤信息進(jìn)行一些判斷。 7．在網(wǎng)站發(fā)布之前，建議在本地使用一些專業(yè)的SQL注入檢測工具進(jìn)行檢測，及時修補(bǔ)這些SQL注入漏洞。 關(guān)于站長工具檢測出的XSS跨站腳本漏洞問題： 嘗試過濾參數(shù)，對用戶輸出進(jìn)行轉(zhuǎn)義或者過濾。一般<>/\^"'這些如果不需要都過濾一遍，其對應(yīng)的轉(zhuǎn)義也記得過濾一下，安全性就會提高，那么我該怎么操作呢？ 1．假定所有輸入都是可疑的，必須對所有輸入中的script、iframe等字樣進(jìn)行嚴(yán)格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入接口，也包括HTTP請求中的Cookie中的變量，HTTP請求頭部中的變量等。 2．不要僅僅驗(yàn)證數(shù)據(jù)的類型，還要驗(yàn)證其格式、長度、范圍和內(nèi)容。 3．不要僅僅在客戶端做數(shù)據(jù)的驗(yàn)證與過濾，關(guān)鍵的過濾步驟在服務(wù)端進(jìn)行。 4．對輸出的數(shù)據(jù)也要檢查，數(shù)據(jù)庫里的值有可能會在一個大網(wǎng)站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點(diǎn)時也要進(jìn)行安全檢查。 5．在網(wǎng)站發(fā)布之前，建議讓測試人員多檢測幾遍，盡量排除避免所有已知的威脅。 關(guān)于提示頁面存在源代碼泄露問題： 解決方法如下： 1. 確定好虛擬主機(jī)空間語言解析（支持的編程語言類型），防止解析失敗而導(dǎo)致源碼泄露。 2. 關(guān)閉網(wǎng)站錯誤調(diào)試機(jī)制，讓報錯提示全部顯示白屏不顯示，防止因?yàn)閳箦e而導(dǎo)致源碼泄露。 關(guān)于網(wǎng)站存在備份文件問題：如果網(wǎng)站備份文件在網(wǎng)站根目錄下面，可以直接下載的話，那么就一定要刪除備份文件，或者將這類文件從網(wǎng)站根目錄目錄下移走。目的是為了避免給別人直接下載的機(jī)會，從而泄露數(shù)據(jù)。 關(guān)于網(wǎng)站存在目錄瀏覽漏洞問題：關(guān)閉Web容器（如IIS/Apache等）的目錄瀏覽功能，PHP空間想實(shí)現(xiàn)這個功能都需要FTP賬號，F(xiàn)TP密碼和IP地址才能實(shí)現(xiàn)，當(dāng)然，站長工具有這個提示沒關(guān)系，因?yàn)槟阕约菏强梢阅夸洖g覽，無憂小編提醒大家要保管好各自的虛擬主機(jī)信息。 關(guān)于網(wǎng)站存在phpinfo文件（探針文件）：刪除檢測出的PHPinfo文件，或者探針文件。檢測完無憂主機(jī)PHP空間的性能之后，記得把該文件刪除。附無憂主機(jī)PHP探針。 關(guān)于網(wǎng)站存在網(wǎng)站日志信息文件：假若網(wǎng)站日志信息文件在網(wǎng)站根目錄，那么可以刪除檢測出的日志信息文件。因?yàn)榫W(wǎng)站日志文件記錄著你網(wǎng)站一天的實(shí)時數(shù)據(jù)，哪個IP地址訪問你的網(wǎng)站，通過什么協(xié)議在哪個時間通過什么方式訪問了哪個頁面信息等，請點(diǎn)擊如何看懂網(wǎng)站日志（APACHE日志）。 關(guān)于網(wǎng)站存在JSP示例文件：很多站長喜歡測試新功能，卻忘記刪除JSP示例測試文件，如果示例文件內(nèi)里面含有很多你不知道的內(nèi)容，有程序后門存在，存在漏洞不就是一顆定時炸彈嗎，不是非常重要就刪除吧。 關(guān)于頁面上存在數(shù)據(jù)庫信息：關(guān)閉數(shù)據(jù)庫的錯誤調(diào)試機(jī)制，防止因?yàn)镾QL語句錯誤導(dǎo)致數(shù)據(jù)庫報錯信息顯示到頁面上。無憂小編就喜歡Discuz程序，他會提示數(shù)據(jù)庫錯誤，然后就是錯誤代碼。 關(guān)于頁面上存在網(wǎng)站程序的調(diào)試信息：關(guān)閉網(wǎng)站程序的調(diào)試機(jī)制，這個機(jī)制經(jīng)常被用于網(wǎng)站的測試調(diào)試，該機(jī)制能顯示出很詳細(xì)的網(wǎng)站報錯信息，程序技術(shù)員就是平時就是通過這種網(wǎng)站報錯信息來修改維護(hù)網(wǎng)站的，一旦調(diào)試完成，請關(guān)閉程序調(diào)試機(jī)制。 關(guān)于網(wǎng)站存在后臺登錄地址： 1.將后臺登錄地址隱藏的深一點(diǎn)，改個不容易猜到的路徑，特別是很多開源程序的后臺地址都是默認(rèn)設(shè)定的，為了安全一定要改！ 2.配置好后臺登錄地址的訪問權(quán)限，比如只允許某個IP或IP段的用戶訪問。網(wǎng)站存在敏感目錄：這些目錄經(jīng)常用于存放敏感的文件，可以考慮從網(wǎng)站目錄中分離出，或改個不易猜測到的路徑。

本文地址：http://www.gle-technology.com/others/17994.html