第六十九期 吴辉：网站安全防护探讨揭秘

吴辉，湖北黄冈人,国内一线安全白帽子聚集区——乌云技术社区一员。2007年起专攻互联网网络安全，以viekstID混迹于国内各个相关的论坛。在校期间曾对学校主站，内部网络，当地门户等做渗透测试，均取得成功。个人擅长代码审计和web渗透测试。近期在湖盟云防火墙做为安全工程师，负责针对WEB的规则补强，以及注入渗透等测试工作。

引言

湖盟云防火墙是黑色梦想网络技术有限公司旗下的产品，它是第一个由中国人自主研发的云计算安全服务品牌，是国内首家采用零部署、零维护，提供一站式的网站安全防御服务的平台，致力于帮助用户解决网站安全问题。

访谈

牛品源码总编：什么是网站安全?嘉宾能简单给我们介绍下网站安全的概念吗?

吴辉：网站安全是指出于防止网站受到外来电脑入侵者对其网站进行挂马，篡改网页等行为而做出一系列的防御工作。由于一个网站设计者更多地考虑满足用户应用，如何实现业务。很少考虑网站应用开发过程中所存在的漏洞，这些漏洞在不关注安全代码设计的人员眼里几乎不可见，大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中，即便存在安全漏洞，正常的使 用者并不会察觉。

牛品源码总编：那么对于个人网站来说，利用这些漏洞的常见网站攻击手段又有哪些呢?

吴辉：对于这些觉的攻击有：SQL注入 ，跨站， 文件包含， 远程代码执行

这些漏洞都是由于程序的设计缺陷或者某些参数没有过滤，成功利用这些漏洞可以获取管理员权限

牛品源码总编：很多站长会经常被网站上出现的黑链所困扰，对于黑链我们该怎么防范呢?

吴辉：一般黑客会在网站的首页或者内容页挂上一段代码，让搜索引擎认为网站导出了一个链接，而且这段代码是非常隐蔽的，在我们平时简单的网站维护中是看不到的，此时就可以通过IE的查看菜单，找到源文件，并且通过Ctrl+F进行查找，比如。

“ < a href="http://www.baidu.com/" target="_blank" > 百度 < /a > ”内容页也是如此。如果查找到以后。可以通过Ftp下载Index.php等文件进行删除，上传并覆盖。这样就基本上解决了被挂黑链的问题，当然解决问题之后，就一定要通过密码的设置加强对网站的安全的防护，从而保证今后的网站安全性能!

牛品源码总编：对于个人网站来说，挂马可能是经常遇到和头疼的一件事情。那么我们该如何防范挂马这类的安全问题呢?

吴辉：通常木马都是在html页面中加入了一句Iframe代码，而这段代码很容易通过js脚本下载到客户机上面，从而让别人的电脑感染木马病毒，我们可以在首页和内容页中查询iframe开头的段落，然后再利用工具进行排查，同时包括数据库，后台以及服务器等!网站受到攻击之后，很多情况下是能够发现的，你还可以检测下网站服务器日志来查获这些信息，一旦发现异常立即处理。

牛品源码总编：在网站的服务器安全问题上，我们会经常提到webshell问题。那么我们该如何做才能有效预防webshell问题呢?

吴辉：其实webshell的获得不仅仅能够通过破解服务器后门获得，我们通过上传漏洞，或者写配置文件也可获得，所以对于相关的cms建站程序，要及时的进行修复升级，将这些漏洞打上补丁避免被黑客利用，另外平时多学习服务器及网站的安全防范知识，从多种途径解决网站漏洞的问题!

牛品源码总编：那么关于服务器的安全问题，我们要考虑哪些方面的因素，才能达到较高地安全性呢?

吴辉：有些空间商为了节约成本，没有安装质量高的杀毒软件，从而让服务器出现了很多的后门，这些后门往往就被一些黑客添加了很多新的管理账户，然后就被黑客拿走了 webshell，虽然现在市场上的webshell比较的廉价，但是黑客可以黑空间商从而进行批量的出售

为了防止服务器后门被攻击，我们可以通过一直 按数次的shift键然后就提示你可以进入后台了，此时就可以定期的检查后台是否有不明身份的账户存在，如果有的话就要立即删除，同时在仔细检查服务器里 面的管理组用户，看看有没有什么不明的用户，当然适当的备份是非常有必要的!

牛品源码总编：对于网站的安全防护，我们有哪些方面需要注意的?

吴辉：

(1)网站上线后应及时修改网站后台管理路径

(2)设置不常见的账号和复杂的密码

(3)定时定期的备份后台的数据并且及时备份到个人主机上，

(4)定期到论坛观察最新咨询和漏洞

(5)一旦出现问题，及时恢复备份的数据

牛品源码总编：那么对于站长来说，该怎么做才能真正保障自己的网站不被入侵呢?

吴辉：要保护我们的网站不被黑客攻击，我们应该从空间，建站程序，以及站长的安全意识三个方面加强，任何一个小的问题都有可能导致黑客入侵，只有这三个方面同时进行防护，才能有效避免黑客攻击。

牛品源码总编：上面提到了建站程序的安全问题，那么如何从网站安全的角度来选择一个建站程序?有没有一些测试手段来测试网站程序是否安全?

吴辉：选择一个安全建站程序很重要，这也直接决定了后面的数据以及网站的安全。当然这些建站系统也不可能做到绝对的安全，他们或多或少都存在一些漏洞，我们要做的就是在这个基础上进行完善。

想检测自己网站是否安全，你可以在网上下一些Web安全漏洞扫描器，这里给大家介绍一个JSky，他可以检测出SQL注入、跨站脚本、目录泄露、网页木马等在内的所有的WEB应用层漏洞，也是黑客经常使用的一个工具。

牛品源码总编：下面是本期访谈的最后一个问题，请嘉宾从网站安全的角度对个人网站提出一些建议。

吴辉：

(1)仔细查看安装说明，按官方的说明做好基础的安全设置。

(2)经常访问相关官方网站，关注程序安全漏洞和更新版本，及时给自己程序升级或打上补丁。

(3)尽量不采用修改版和插件版的程序，因为修改后的程序会使漏洞更多，而且补丁也不一定完全适用。

(4)设置相对复杂的FTP密码和网站管理密码并经常修改，同时考虑修改网站后台管理的文件名称。

(5)经常检查网站内部文件，发现可疑文件后及时处理，并分析可能的原因。

(6)对于SQL数据库，您可以用企业管理器连接，然后把重要数据表设置为只读权限，可以防止任何方式添加管理员。

(7)二次开发时切记做好对特殊符号的过虑，防止注入漏洞。

(8)经常备份自己的网站数据，因为网站安全的第一要求就是备份，防止被黑以后数据丢失。

(9)如果有服务器管理权限建议把论坛上传图片目录设置权限最低。

站长风采

结论

湖盟云防火墙为不同行业的网站提供从个人到企业，甚至金融系统级别的安全保护，拥有超过7年的安全防护技术实战经验，为全球所有网站提供最全面的安全解决方案，是国际领先的云安全服务提供商。其核心安全技术已经被业界高度认可。