上篇为大家介绍了关于形成防反钓鱼网站的习惯,本篇说下如何保护自己的Web站点。
保持自己站点的安全性
如今运行一个网站真不是好时候。因为今天的Web绝对不是数字乐土,而是数字战区。如果你运作着一个网站,它有可能成为多种黑客力量的排练场。
骗子们使用一些自动化的工具搜索站点,查找最常见的漏洞。如果找到这种网站,就进一步扩大此漏洞,并植入恶意代码,伺机攻击访问此站点的善意用户。
因此除了采取一些传统的安全措施之外,还可以进行一些快捷免费的扫描,查找一些最明显的问题。Web漏洞扫描工具有很多, Wikto就是一个不错的选择,它可以检查Web 服务器上的漏洞。其功能与Nikto有许多类似之处,但又增加了一些有趣的功能,如与Google的集成等。
下一步需要扫描SQL注入漏洞,这方面的工具有SQL Injection Pen-testing Tool、SQLNinja、微软SQL注入攻击源码扫描器Microsoft Source Code Analyzer for SQL Injection (MSCASI)等。
在扫描并修补了漏洞之后,并不能完全保障用户的站点是绝对安全的。例如,JavaScript代码中的漏洞就很难发现,而这正是另外一种常见的攻击类型。而且在一个网站遭到攻击之后,即使修复了漏洞,由于被劫持或攻击而造成的商誉损失在短时间内却很难清除。所以在网站投入运营之前,采取多种手段检查其漏洞是至关重要的。
|
安全中国首页 > 文章中心 > 安全防护