网站如何防止被篡改?
所谓的网站篡改,就是网站被黑客攻击以后,网站页面被修改成黄色、赌博等网站,不仅影响企业的外在形象,同时也造成了违法,需要承担相应的责任。
目前网站篡改事件不在少数,尤其是政府、事业单位网站更容易受到网站篡改攻击。
一、网页篡改的途径
(1)SQL注入后获取Webshell:
黑客通过web应用程序的漏洞,通过SQL语句提交非法的语句到数据,通过系统以及第三方软件的漏洞获取web的控制权限或者服务器权限;
(2)XSS漏洞引入恶意HTML界面:
被动的跨站攻击可以在合法的地方引入非法的HTML或者JS代码,从而让访问者“正常”的改变页面内容;例如:校内网蠕虫;
(3)控制了Web服务器:
攻击者可能通过服务器或者第三方的漏洞,获取了服务器权限、数据库管理权限进而修改页面;
(4)控制了DNS服务器:
攻击者对网站的域名服务器进行渗透,获取了域名的解析权限,改变了解析地址以达到篡改的效果;例如:百度被黑事件;
(5)遭遇了ARP攻击:
攻击者可能会针对web服务器所在的外段进行攻击,当掌握了同网段某台机器以后对web服务器所在的主机发送ARP欺骗包,引诱访问者或者web服务器指向其他页面以达到篡改效果;
二、如何防范网页篡改
网站篡改对于单位会造成巨大的损失,及时对网站进行防护,防止网站被篡改是非常重要的,一般而言防止网站被篡改可以通过以下几个途径来实现。
(1)给正常文件一个通行证;
将正常的程序文件数量、名称记录下来,并保存每一个正常文件的MD5散列做成数字签名存入数据库;如果当遇到黑客攻击修改主页、挂马、提交webshell的时候,由于这些文件被修改过或者是新提交的,没有在数据库中存在,则将其删除或者恢复以达到防护效果;
(2)检测和防护SQL注入攻击;
通过过滤SQL危险字符如:“’、select、where、insert、,、;”等等将其进行无害化编码或者转码,从源头遏止;对提交到web服务器的数据报进行过滤检测是否含有“eval、wscript.shell、iframe”等等;
(3)检测和防护DNS攻击解析;
不断在本地通过nslookup解析域名以监视域名的指向是否合法;
(4)检测和防护ARP攻击;
绑定MAC地址,检测ARP攻击并过滤掉危险的ARP数据报;
(5)过滤对WEB服务器的请求;
设置访问控制列表,设置IP黑名单和白名单过滤掉非法访问后台的IP;对web服务器文件的请求进行文件预解析,对比解析的文件与原文件差异,存在差异的取源文件返回请求;
(6)做好集群或者数据库加密;
对于NT系统设置好文件夹权限,控制因操作失误所带来的损失;对于SQL 2005可以设置管理IP和数据库加密,切断数据库篡改的源头;
(7)接入有云安全防护的CDN;
可以把网站接入CDN,隐藏源机真实IP,把所有扫描、攻击等等,都由CDN去拦截防护;
(8)把网站挂在有waf安全防护的服务器;
把网站挂在有云安全防护的服务器下,做到防止网站篡改。
网站如何防止被篡改?相关推荐
- 如何解决网站首页老是被篡改经常反复被篡改
网站首页被篡改说明你网站程序有漏洞导致被上传了脚本后门木马 从而进行篡改内容被百度收录一些BC内容和垃圾与网站不相关的内容,建议找专业做安全的来进行网站安全服务漏洞检测与修补以及代码安全审计,清理网站 ...
- dede网站首页被黑攻击植入恶意跳转代码怎么办? 首页经常被篡改标题关键字的解决方法
网站title被加入代码: 首先,我们要先修复首页代码,解决跳转问题,避免更多用户跳转到恶意页面,也是避免网站被篡改后的tdk被搜索引擎收录! 然后我们先解决对方通过自定义宏标记和智能标记向导来篡改首 ...
- 网站被篡改 收录一些非本网站快照跳转如何解决
在实际的网站运营维护过程中,经常发生网站被HACK攻击等情况,尤其网站的标题被篡改为中文关键词<title>,使得网站在百度搜索的索引结果非常的明显,直接在浏览器里打开网站,用肉眼看到的是 ...
- 网站被黑搜索快照被劫持怎么办
2018年圣诞节来临之际随着互联网的网站数量不断的庞大增加,随之而来的网站安全问题凸显上升,很多企业网站的百度快照出现被劫持跳转,以及网站快照被劫持在百度中的搜索关键词出现标题描述与网站不相符的问题, ...
- 网站显示 该内容被禁止访问 怎么解决
如果您的网站首页或者内页面突然出现"该内容被禁止访问"的提示,那么说明你的网站被黑了,被黑什么了?我找找找,也没找出什么问题,到底是怎么回事,最终如何解决呢?下面,Sine安全老于 ...
- 安全、可靠、合规,华为云守护企业网站安全
安全.可靠.合规,华为云守护企业网站安全 我们知道,企业的网站安全一旦出现问题,轻则导致自身企业的网站和数据被篡改,导致企业业务中断,造成难以估量的损失,重则会导致企业破产.所以,对于一些中小型企业和 ...
- 劫持网站防御技术,网站被劫持到其它网站的解决方法
越来越多的网站被劫持,像跳转到彩piao网站,du博网站的情况时有发生,很多人可能都会经历过,电脑打开网站,以及手机打开移动端网站都会跳转到其他网站上去,这个就是网站被劫持跳转,那么网站被跳转的背后究 ...
- 打开网站被挂马跳转到博彩页面 解决办法
从百度这里点击进去,我的网站会直接跳转到赌博网站上去,我一开始以为 是百度有问题了,我再从其他搜索引擎试了一下,360搜索,搜狗搜索点击进去, 都会自动跳转到赌博网站上去,难不成是我网站出问题了? ...
- 网站被百度停止推广并提示网站存在安全风险,不宜推广的处理解决方案
春节刚过完,上班的第一天,公司网站被百度停止推广了,百度推广提示:您的url被百度杀毒提示存在网址安全风险,故物料不宜推广:若有异议,请进入百度杀毒申诉通道申诉.第一时间联系了当地百度公司客服,客服帮 ...
最新文章
- 列表导航栏实例(01)
- 时隔两年的重大更新,微软发布.NET Framework 4.8
- 输出螺旋数字正方形java_Java实现顺时针输出螺旋二维数组的方法示例
- JS的Date.setMonth()方法坑
- 【利好工具】JavaScript及时运行调试工具
- [logstash-input-log4j]插件使用
- Linux内核中断引入用户空间(异步通知机制)【转】
- 三星Galaxy Note 10系列价格曝光:顶配售价要破万
- java : NoSuchMethodError: org.codehaus.jackson.JsonNode.asInt()
- python可见图算法_基于自适应显着性的图像分割(源码开放)
- js 生成二维码_js 生成二维码
- 《linux c编程指南》学习手记1
- 天才程序员之陨落:业余项目创业 Cloudflare,公司上市前患病失去自理能力
- linux下Led的设备驱动程序实验总结,Linux让LED灯闪起来
- gson 不忽略空_仅在不为null或不为空的情况下,Gson序列化字段
- git常用命令常用场景
- 使用 requests 进行身份认证
- 《Java平台体系》——第二章 JVM——实战:用JBE修改Java字节码
- 2.6 Photoshop操作步骤的撤消和重做 [Ps教程]
- UpdateData用法解释