关于网站的安全性

　　首当其冲的是服务器的安全，服务器本身如果被人入侵了，你的网站系统再安全，那也没有任何作用。

　　其次是FTP或者远程管理等的帐号安全，如果人家破解了你的FTP或者远程管理权限，那也就等于窗户开给人家怕，那家里的东西自然是随便拿了。

　　上述的涉及系统管理的问题，这里不多说了，重点说说第三方面：脚本安全。

　　脚本指在你的网站上的ASP，JSP，CGI等服务器端运行的脚本代码，比如动易系统、>动网论坛都属此类。脚本代码的安全问题最主要最集中的问题出在两个方面：SQL注入和FSO权限。

　　互动网站大多有数据库，ASP代码通过SQL语句对数据库进行管理，而SQL语句中的一些变量是通过用户提交的表单获取，如果对表单提交的数据没有做好过滤，攻击者就可以通过构造一些特殊的URL提交给你的系统，或者在表单中提交特别构造的字符串，造成SQL语句没有按预期的目的执行。

　　经常有网友在动易论坛提交一些扫描报告，说动易有SQL注入漏洞。像动易这么复杂的系统，我们不能说开发人员不会遗漏了一两个表单数据的检验和过滤，如果的确存在这种疏忽，而攻击者又通过源代码看到了，那么肯定网站是抵御不了这样的攻击的。在早期的动力系统中，曾经有过这样的漏洞。

　　到了动易的新版本，开发团队在防止SQL注入方面下了很大的工夫，几乎所有通过表单提交的数据，分字符型和数字型，分别用一个专门的函数进行处理。只要是提交的数据包含非法字符，或者被替换为安全字符，或者提交的数据被替换为默认值。为了程序具有较好的容错性，我们并没有对所有含有非法字符串的数据提交都以抱错回应。比如当用户访问ShowSource.asp这个网页，提交ChannelID=%3D这样的数据，系统就会将其修改为ChannelID=0，这是安全的数据，但是不会显示“您所提交的数据非法”这样的提示。因为对于访问者而言，这是没有必要的。

　　除此之外，动易系统的重要代码都是封装在DLL组件中，由于源码不公开，就比公开源码的系统在安全性上提高了很多。

　　也就是因为这样的原因，一些比较弱智的漏洞扫描器就以为提交的ChannelID=%3D被执行了，于是告诉用户ShowSource.asp?ChannelID=%3D存在高危漏洞。

　　大家如果遇到扫描器报告有高危漏洞的，可以联系我们开发人员确认。经过开发人员确认不存在，那就肯定不存在。即使扫描器报告说有，你也不用担心。因为攻击者是没有办法利用这个漏洞的。

　　除了SQL注入，还有一个更严重的安全问题：上传木马。

　　由于上传组件(通常ASP开发者都使用一个或多个第三方开发的上传组件或者ASP类)、站长的错误设置(允许上传asp或者shtml等类型的文件)，或者其它存在的上传漏洞，都可能存在被攻击者上传后门的可能性。一旦上传了漏洞，攻击者就获得了站长的权限，甚至超过站长的权限(对整个服务器构成安全威胁)。

　　这几年来，包括动网、动力、动易在内的ASP系统，都曾经出现过上传漏洞的问题(尤其是去年的upload.inc上传.cer等类型文件的漏洞)。但是为什么每次发现这种大规模存在的漏洞之后，都只有一部分网站被黑呢?当然不是攻击者手软或者良心发现，而是一些网站通过服务器设置，防止了这些漏洞导致的损失。

安徽企业网站建设，安徽网页设计，安徽网站推广，合肥网页设计，合肥网站建设，合肥网络推广，芜湖网站制作，芜湖网页设计，芜湖网站建设，蚌埠网站建设，蚌埠网页设计，蚌埠网站开发，阜阳网站制作，阜阳网页设计，阜阳网站制作，安庆网站建设，安庆网页设计，安庆网络推广，湖市网站建设，湖市网页设计，湖市网络推广，繁昌网站制作，繁昌网站建设，繁昌网页设计，500元做网站，