監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉
杭州OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

重視網(wǎng)站系統(tǒng)安全,嚴(yán)防第一道鎖

申請免費(fèi)試用、咨詢電話:400-8352-114

 

 近日,國內(nèi)發(fā)生了多宗政府網(wǎng)站被黑事件。遼寧省食品安全網(wǎng)被黑,黑客留言提醒管理公司OA辦公軟件員修補(bǔ)服務(wù)器;安徽省淮北市烈山區(qū)政府網(wǎng)站被黑,公開信中發(fā)現(xiàn)了諸如減肥、除粉刺等小廣告鏈接。據(jù)了解,該政府網(wǎng)站遭遇“掛馬”并非個(gè)案,類似通過“黑”政府網(wǎng)站牟利的行為已構(gòu)成一個(gè)產(chǎn)業(yè)鏈,政府網(wǎng)站因其在搜索引擎中排名靠前、能給廣告所屬網(wǎng)站帶來更多流量而備受黑客青睞。來自工信部的統(tǒng)計(jì)信息顯示:去年1月4日至10日,一周內(nèi)境內(nèi)被篡改的政府網(wǎng)站數(shù)量為178個(gè)。


  黑客永遠(yuǎn)是安全界的天敵,相反只有黑客技術(shù)才能推進(jìn)網(wǎng)絡(luò)安全的發(fā)展,兩者是相輔相成的。然而面對現(xiàn)在眾多的網(wǎng)絡(luò)黑客,政府網(wǎng)站到底該做哪些東西才能將安全進(jìn)行到底呢?這是很現(xiàn)實(shí)的問題。我們在譴責(zé)黑客的同時(shí),也在思考另一個(gè)問題,怎么樣來保障我們的政府網(wǎng)站安全運(yùn)行?政府網(wǎng)站建設(shè)的時(shí)候又要注意什么?為此,記者走訪了網(wǎng)站安全防范專家。


  專家支招一:重視網(wǎng)站系統(tǒng)安全,嚴(yán)防第一道鎖


  構(gòu)建安全服務(wù)器的環(huán)境,只是從外圍進(jìn)行阻擊“黑客”的攻擊,但更重要的還是要保障網(wǎng)站系統(tǒng)安全,防止黑客利用系統(tǒng)漏洞進(jìn)行攻擊,從而威脅網(wǎng)站安全。


  據(jù)管理公司OA軟件網(wǎng)絡(luò)安全專家介紹:根據(jù)OWASP 組織發(fā)布的 Web 應(yīng)用程序脆弱性10大排名的統(tǒng)計(jì)結(jié)果表明,跨站腳本、注入漏洞、跨站請求偽造、信息泄露等方面的問題仍然是目前黑客流行的攻擊方式,而其中尤以SQL注入攻擊和跨站腳本攻擊為重,所謂的SQL注入攻擊就是利用程序員在編寫代碼時(shí)沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,導(dǎo)致入侵者可以通過插入并執(zhí)行惡意SQL命令,獲得數(shù)據(jù)讀取和修改的權(quán)限;而跨站腳本攻擊則是通過在網(wǎng)頁中加入惡意代碼,當(dāng)訪問者瀏覽網(wǎng)頁時(shí),惡意代碼會被執(zhí)行或者通過給管理公司OA辦公軟件員發(fā)信息的方式誘使成都管理公司OA辦公軟件員瀏覽,從而獲得管理公司OA辦公軟件員權(quán)限,控制整個(gè)網(wǎng)站。


  那么,對這種黑客攻擊方式有沒有有效的安全手段進(jìn)行阻擊呢?據(jù)悉,在SmartGov 政府網(wǎng)站管理公司OA辦公軟件系統(tǒng)開發(fā)中,針對各種攻擊方式都制定了相應(yīng)完整的防御方案,并且借助 ASP.NET 的特性和功能,可以有效的抵制惡意用戶對網(wǎng)站進(jìn)行的攻擊,提高網(wǎng)站的安全性,但就針對目前SQL注入攻擊和跨站腳本攻擊,其更加有效的阻擊手段是什么呢?動(dòng)易網(wǎng)絡(luò)安全專家向我們介紹了一些安全手段:


  (一)對于SQL注入攻擊:動(dòng)易系統(tǒng)采用對SQL查詢語句中的查詢參數(shù)進(jìn)行過濾;使用類型安全的SQL參數(shù)化查詢方式,從根本上解決SQL注入的問題;URL參數(shù)類型、數(shù)量、范圍限制功能,解決惡意用戶通過地址欄惡意攻擊的問題等,這些手段是控制SQL注入的,還包括其它的一些過濾處理,和其它的對用戶輸入數(shù)據(jù)的驗(yàn)證來防止SQL注入攻擊。


  (二):對于跨站腳本攻擊:在對于不支持HTML的內(nèi)容直接實(shí)行編碼處理的辦法,來從根本上解決跨站問題。而對于支持HTML的內(nèi)容,管理公司OA軟件有專門的過濾函數(shù),會對數(shù)據(jù)進(jìn)行安全處理(依據(jù)XSS攻擊庫的攻擊實(shí)例),雖然這種方式目前是安全的,但不代表以后也一定是安全的,因?yàn)楣羰侄螘粩喾?,管理公司OA軟件的過濾函數(shù)庫也會不斷更新。


  另外對于外站訪問和直接訪問我們也做了判斷,從一定程度上也可以避免跨站攻擊。即使出現(xiàn)了跨站攻擊,我們也會將攻擊的影響減到最小:一、對于后臺一些會顯示HTML內(nèi)容的地方,通過frame的安全屬性security="restricted"來阻止腳本的運(yùn)行(IE有效);二、使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密(IE6 SP1以上、Firefox 3);三、身份驗(yàn)證票據(jù)都是加密過的;四、推薦使用更高版本的IE或者FF。

發(fā)布:2025-11-11 08:32    編輯:泛普軟件 · admin    [打印此頁]    [關(guān)閉]

泛普杭州OA行業(yè)資訊其他應(yīng)用

杭州OA軟件 杭州OA新聞動(dòng)態(tài) 杭州OA信息化 杭州OA快博 杭州OA行業(yè)資訊 杭州軟件開發(fā)公司 杭州門禁系統(tǒng) 杭州物業(yè)管理軟件 杭州倉庫管理軟件 杭州餐飲管理軟件 杭州網(wǎng)站建設(shè)公司