网站安全风险分析及对策 定义: 网站安全性分析即指,分析者论述威胁网站安全的原因,提出在建立网站时应考虑的安全性目标以及防范手段
网站安全分析: 1
登录页面必须加密 在登录之后实施加密有可能有用,这就像把大门关上以防止马儿跑出去一样,不过他们并没有对登录会话加密,这就有点儿像在你锁上大门时却将钥匙放在了锁眼里一样
即使你的登录会话被传输到了一个加密的资源,在许多情况下,这仍有可能被一个恶意的黑客攻克,他会精心地伪造一个登录表单,借以访问同样的资源,并访问敏感数据
采取专业工具辅助 在市面目前有许多针对于网站安全的检测平台,不过这些大多数是收费的,而目前标榜免费就只有亿思网站安全检测平台(iiscan)
通过这些网站安全检测平台能够迅速找到网站的安全隐患,而且这些平台都会提供针对其隐患做出相应措施
通过加密连接管理你的站点 使用不加密的连接(或仅使用轻度加密的连接),如使用不加密的 FTP或HTTP 用于Web 站点或Web 服务器的管理,就会将自己的大门向“中间人”攻击和登录/口令的嗅探等手段敞开大门
因此请务必使用加密的协议,如SSH 等来访问安全资源,要使用经证实的一些安全工具如OpenSSH 等
否则,一旦某人截获了你的登录和口令信息,他就可以执行你可做的一切操作
使用强健的、跨平台的兼容性加密根据目前的发展情况,SSL 已经不再是 Web 网站加密的最先进技术
可 以考虑 TLS,即传输层安全,它是安全套接字层加密的继承者
要保证你所选择的任何加密方案不会限制你的用户基础
同样的原则也适用于后端的管理,在这里 SSH 等跨平台的强加密方案要比微软的Window s 远程桌面等较弱的加密工具要更可取、更有优越性
从一个安全有保障的网络连接 避免从安全特性不可知或不确定的网络连接,也不要从安全性差劲的一些网络连接,如一些开放的无线访问点等