【51cto.com专家特稿】上篇为大家介绍了关于形成防反钓鱼网站的习惯,本篇说下如何保护自己的web站点。 JAVASCRIPT保持自己站点的安全性 如今运行一个网站真不是好时候。因为今天的web绝对不是数字乐土,而是数字战区。如果你运作着一个网站,它有可能成为多种黑客力量的排练场。 骗子们使用一些自动化的工具搜索站点,查找最常见的漏洞。如果找到这种网站,就进一步扩大此漏洞,并植入恶意代码,伺机攻击访问此站点的善意用户。 因此除了采取一些传统的安全措施之外,还可以进行一些快捷免费的扫描,查找一些最明显的问题。web漏洞扫描工具有很多,wikto就是一个不错的选择,它可以检查web服务器上的漏洞。其功能与nikto有许多类似之处,但又增加了一些有趣的功能,如与google的集成等。 下一步需要扫描sql注入漏洞,这方面的工具有sqlinjectionpen-testingtool、sqlninja、微软sql注入攻击源码扫描器microsoftsourcecodeanalyzerforsqlinjection(mscasi)等。 在扫描并修补了漏洞之后,并不能完全保障用户的站点是绝对安全的。例如,javascript代码中的漏洞就很难发现,而这正是另外一种常见的攻击类型。而且在一个网站遭到攻击之后,即使修复了漏洞,由于被劫持或攻击而造成的商誉损失在短时间内却很难清除。所以在网站投入运营之前,采取多种手段检查其漏洞是至关重要的。 【51cto.com独家特稿,转载请注明出处及作者!】 【相关文章】 |