新闻频道 > 社会万象

企业安全秘籍之“网站安全防范”式

来源: 国家网络安全宣传周河北活动平台  
2020-09-14 09:38:29
分享:

  你是不是经常有这样的疑惑:“网站刚才还好好的,怎么突然登不上去了?”“为什么我每天访问的公司网站,一夜之间就被乱码取代了?”每当出现这些情况,网速和网站技术维护人员都成了默默的“背锅侠”。

  其实,这也不能全怪他们,真正的幕后黑手,可能是网络黑客。比如下面这个例子:

  案例:小明登录公司网站想找市场分析数据,不料,网站显示无法访问,起初以为是技术部门在维修,就没在意,之后再登录发现,网页已被篡改,网站主页面上被放了一个海盗骷髅头的图案,小明惊愕之余才意识到,公司的网页可能遭遇黑客入侵被篡改了。

  网站的“弱点”,不止容易被篡改这么简单,有时还会成为传播木马的傀儡。可以说,只要网站攻击来刷“存在感”,就必然给企业带来难以估量的损失。

  那么,网站刷“存在感”(被攻击)的方式到底有哪些?小编总结了两个手段:

  手段一:Web系统数据被篡改

  在这种情况下,黑客一般通过Web程序的漏洞获得其系统权限,进行网页挂马、网页篡改、修改数据等秘密活动。

  此处,先给大家科普下“网页挂马”是怎么回事:

  首先,黑客先把木马程序传到网站里,然后通过木马生成器生一个“网马”,之后再把网马加上代码重新上传,使得它在打开网页时开始运行。

  黑客可以通过网页挂马,利用被攻击的Web系统作为后续攻击的工具,致使更多人受害;也可以通过网页篡改,丑化Web系统所有者的声誉甚至造成更大的影响;还也可以通过修改Web系统敏感数据,直接达到获取利益的目的。

  手段二:窃取用户信息

  这种刷存在感的方式就比较直接了,它依然是通过应用程序的漏洞,构造特殊网页或链接引诱Web系统管理员、普通用户点击,以达到窃取用户数据的目的。

  虽然,网页这些“自刷存在感”的方式比较邪恶,但其背后的原因也是很容易被挖掘出来的。

  原因之一:网站在设计时,只关注正常应用,未关注代码安全

  就个锅就要扣在“程序猿”的头上了。大多数程序员在设计网站时,只关注其如何实现业务,却忽略了代码的安全性。(当然,也可能是因为他们对网站攻防技术了解甚少。)在正常的使用过程中,即便是存在安全漏洞,使用者也是无法察觉的。但对于敏锐感爆棚的黑客来说,发现这些漏洞简直就是小菜一碟。

  原因之二:黑客入侵后,未及时发现

  黑客入侵网页,一是为了炫技,二是为了传播非法信息。尽管第一种目的很遭人恨,但如果没有后续的手段,我们发发牢骚也就过去了。可怕的是第二种目的,通常黑客控制了系统的访问权限后,并不暴露自己,而是持续利用所控制Web系统,散布木马病毒,这就使得系统本身虽然能够提供正常的服务,但其使用和访问者却遭受着持续的危害。

  原因之三:发现安全问题不能彻底解决

  这种情况就比较悲催了,虽然当前的安全问题日益突出,但绝大多数的系统开发公司对安全代码的设计方面了解甚少,尽管发现了问题和漏洞,修补方式只能停留在页面修复,很难找到病根,无法做到药到病除。

  看了这么多,是不是感觉对网站篡改束手无策?别急,万病不离其根,找到病根之后还有救,千万不要放弃治疗!小编在此也总结了几种方法供参考:

  “Web网站安全防范”式:

  1、加强对Web开发人员培训,定期为其补课,培养安全意识,不能输在起跑线;

  2、定期进行代码审查,加强代码安全性;

  3、Web网站上线之前要做全面的安全检查,尽量避免上线之前存在Web漏洞;

  4、部署相关Web网站安全监控与防护产品对Web网站进行安全保障。

关键词:网站安全,防范责任编辑:裴妥