網站運維之 風險防控

引言

對於網站運維是一個比較要細心有耐心的工做，當一個網站從開發到上線後，後期的維護也很關鍵，特別是對於引流的網站來講更是相當重要。

對於網站運維的內容大體能夠分爲：

SEO流量監控方面；風險防控；訪問速度優化等方面。

我整理了一些我的的經驗分享給你們，但願能對網站運維的朋友有所幫助！

正文

一：有哪些攻擊類型？

風險防控實際上是一個很深奧的東西，談到風險防控，咱們有必要先來談一下威脅網站、服務器的有哪些安全隱患。

第一種：sql注入 

sql注入說的通俗一些就是用戶在http請求中注入而已的代碼，致使服務器使用數據庫sql命令時，致使惡意sql一塊兒被執行。

用戶登陸，輸入用戶名 zhangsan，密碼 ‘ or ‘1’=’1 ，若是此時使用參數構造的方式，就會出現

這樣zhangsan用戶沒有密碼也能夠被登錄，若是用戶注入的是操做表的sql，你的數據庫就不安全了。

 

第二種：xss攻擊 

跨站腳本攻擊，指攻擊者經過篡改網頁，嵌入惡意腳本程序，在用戶瀏覽網頁時，控制用戶瀏覽器進行惡意操做的一種攻擊方式。

 

第三種：csrf攻擊

跨站請求僞造，指攻擊者經過跨站請求，以合法的用戶的身份進行非法操做。能夠這麼理解CSRF攻擊：攻擊者盜用你的身份，以你的名義向第三方網站發送惡意請求。CRSF能作的事情包括利用你的身份發郵件，發短信，進行交易轉帳，甚至盜取帳號信息。

 

第四種：流量攻擊

流量攻擊又分爲兩種CC攻擊，DDOS攻擊

CC攻擊：藉助代理服務器模擬多個用戶不停的對網站進行訪問請求；

DDOS攻擊：控制多臺電腦向網站發送訪問請求，以CC攻擊最爲廣泛，採用大量數據包吃掉剩餘帶寬，使正常的流量被擋在外面。

：因爲隨着程序開發的質量不斷加強，因此這種攻擊方式也是就目前而言攻擊者最多見的攻擊方式。

 

第五種：惡意掃描

爲了攻擊網站經過工具自動掃描漏洞，發現漏洞，進而攻擊。

 

第六種：域名攻擊

域名攻擊又分爲兩種：DNS劫持，域名泛解析

DNS劫持：僞造DNS服務器，指引用戶指向錯誤的一個域名地址；

域名泛解析：域名被泛解析不少二級域名網站指向黑客網站，中國政府域名和較大流量我的站很受博彩歡迎。

這種攻擊方式會形成失去域名控制權，域名會被綁定解析到黑客網站，被泛解析權重會分散，引發搜索引擎、安全平臺不信任從而降權標黑。

 

第七種：網頁被惡意篡改

針對網站程序漏洞，植入木馬(webshell、跨站腳本攻擊)，篡改網頁，添加黑鏈或者嵌入非本站信息，甚至是建立大量目錄網頁，以博彩攻擊織夢CMS最多見。

這種攻擊會形成本站訪客不信任，搜索引擎(百度爲例)和安全平臺(安全聯盟爲例)檢測到你的網站被掛馬，會在搜索結果提示安全風險，搜索引擎和瀏覽器都會攔截訪問，下降SEO權重。

這種也是目前來講對於引流官網最多見的攻擊方式。

 

二：如何預防

第一種：

1.不用拼接 SQL 字符串 ，使用參數注入的方式
2. 有效性檢驗。(前端後端都須要。第一準則，外部都是不可信的，防止攻擊者繞過Web端請求) 
3過濾 SQL 須要的參數中的特殊字符。

 

對於第二種，第三種，最直接了當的方法就是使用Https網絡安全傳輸協議。

https協議會與當前服務器創建惟一的對話，當發現有跨站腳本，或者跨站請求僞造時，證書就會報錯。

 

第四種：

一、選擇大型安全有防火牆的主機服務商：阿里雲、西部數碼、新網互聯

二、網站監控：360網站監控(不推薦百度雲觀測，慢5分鐘提示短信不明)

三、CDN防禦：加速樂、雲盾(不推薦百度雲加速，1000次CC攻擊便會崩潰，360網站衛士因審覈較嚴未經過不評價)

四、服務器：服務器安全狗(未專業慎裝，網站會變慢)、網站安全狗、金山毒霸企業版

五、申訴：百度站長平臺

 

第五種

一、關閉閒置端口，修改默認端口

二、參見第四種處理方式

 

第六種：

一、選擇大型知名域名註冊商，填寫真實信息，鎖定域名禁止轉移：西部數碼、新網互聯、GoDaddy，並不推薦中國萬網和諧不實用

二、保證域名註冊郵箱安全

三、選擇大型穩定域名解析商：DNSPod，鎖定解析

四、申訴平臺：百度站長平臺

 

第七種：

一、常用第三方檢測工具進行漏洞查殺：360網站檢測、360主機衛士

二、申訴平臺：安全聯盟

 

若有更加詳細的補充，歡迎掃描下方二維碼，加入羣聊，互相交流學習！

 

 

PS:歡迎掃描下方二維碼，加入QQ羣

 

做者： Jacky

來源： https://www.cnblogs.com/ydcnblog/

聲明：本文版權歸做者和博客園共有，歡迎轉載，但未經做者贊成必須保留此段聲明，且在文章頁面明顯位置給出原文鏈接，不然保留追究法律責任的權利。