1、教育网站信息安全漏洞检查与防范,70 的网站有漏洞,可能导致数据被盗、信息泄漏数据库数据被篡改网站页面被篡改网站被用作它用(色情、诈骗等),加强自我检查与防范,提高认识、加强防范意识用软件工具进行自我检查及时整改(加强管理,修补漏洞等)学习、交流、提高,介绍一款免费软件,Acunetix WVS(网站漏洞扫描)软件Acunetix 是英国的一家软件公司 产品 Acunetix WVS 6.5 提供免费版本使用方便,速度较快,效果较好其它网上黑客软件。,软件演示,安装运行扫描分析,整改与防范,SQL注入与跨站脚本XSS 高危漏洞动态网页获取信息(参数)时如: qx = “黄埔”若缺乏必要保护措施
2、,就有可能遭受黑客攻击 select * from db where qx=黄埔 or nm=all进行 SQL 注入,或 qx = “黄埔alert(test)”加入跨站脚本。,整改与防范,PHP 动态网页防 XSS在文件头中加入一行 include include ( RemoveXSS.php );引入一段程序。程序中,对动态获取的参数进行特殊符号过滤。ASP 动态网页加 ,整改与防范,网站对外服务端口80端口:是 http 端口,提供网页服务 443端口:是 https 端口,提供加密网页服务21端口:是 FTP 端口,供文件上传、下载用23端口:是 Telnet 端口,提供远程登录用
3、 22端口:是 ssh 端口,提供加密远程登录 3389端口:微软远程桌面服务端口尽可能关闭网站对外服务端口。,整改与防范,远程登录与上传文件为工作提供方便的同时带来一定的安全隐患安全防范措施双网卡线路:域名访问线路不提供远程服务加强帐户安全:改 Windows 帐户名限制远程访问的 IP 地址加强密码安全:密码的长度与复杂性密码输入错误若干次后自动锁定,网站被黑的几个案例,“校校通”网络曾经发生过的网站被用作 “钓鱼”,骗取资金帐号密码等,网站被黑的几个案例,“校校通”网络曾经发生过的网站被用作色情视频聊天(10元试看 包月xxx元),网站被黑的几个案例,访问“中国被黑站点” www.zone-搜索 域名 (正处于被黑的状态),, netstat -an 命令查看异常链接用 sniffer 程序查看异常数据包,互联网数据库安全防范,涉密数据不上互联网应用服务器通过内网连接数据库严格控制数据库的读写权限重要数据有备份,谢谢!,
