网站作为一种基于Web的应用程序,通常会比其他C/S结构的软件更容易面临安全性问题。特别是对于应用在金融、电信等领域的网站系统而言,其安全性便成为了系统至关重要的方面,稍微安全性问题,就会造成重大的经济灾难。从网络安全理论上来讲,只要给予足够的时间和资源,任何系统都可以被侵入。因此,我们不能忽略网站的安全性问题。很多站长朋友们都有自己的网站服务器,那么网站服务器有哪些安全性需要我们关注的呢?通常情况下,网站服务器的安全性设置主要包括目录安全性、SSL套接字、用户登录验证、日志文件和脚本语言安全性设置等,具体如下:
首先,网站服务器的目录安全性设置。Web的目录安全性是不容忽视的。对于Web服务器而言,首先需要设置安全的目录,每个目录下应该有index.html或default.html页面,从而可以保护该目录下的内容安全。如果Web程序或Web服务器的处理不适当,通过URL替换和目录名推测,就会将整个目录暴露给外部用户。这个时候,我们就应该严格设置Web服务器的目录访问权限,以降低目录安全隐患。
其次,SSL安全性设置。通常默认情况下,HTTP协议是没有经过任何加密措施的,所有的消息全部都是以明文的形式在网络上进行传输。这时,外部恶意的攻击者就可以通过安装监听程序来获得用户和服务器之间的通信内容。但如果Web服务器建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,并且在使用URL资源定位器时,只能输入https://,而不能使用http://进行访问。使用SSL安全机制时,客户端随机生成会话密匙,用从服务器得到的公共密匙对话密匙进行加密,并把会话密匙在网络上传递给服务器,而会话密匙只有在服务器端用私人密钥才能进行解密,这样,客户端和服务器端就可以建立一个唯一的安全通道。使用SSL安全设置保障了客户端和服务器之间的数据传输安全。
接着,网站登录安全性验证。目前网站基本上是采用先注册、后登录的方式。因此,需要验证系统阻止非法的用户名和密码进行登录,实现有效安全登录。比如,用户登录的登录次数是否有限制;是否限制从某些IP地址的用户登录;密码设置是否有规则限制;是否可以不登录而直接浏览某些网页。
此外,网站服务器需要对网站操作日志文件进行有效存储。日志文件至关重要,我们需要关注相关的重要信息是否写进了日志文件、出现故障后是否可以追踪故障来源。网站正式上线后,需要对Web服务器运行和访问的日志及流量进行日常监控,这就需要网站服务器有相应的功能进行日志管理。比如,日志文件中是否记录了用户访问的IP地址,是否记录了访问用户的用户名;日志文件中是否记录了所有的事务处理信息,是否记录失败的注册企图,特别是涉及到资金安全的,比如是否记录被盗信用卡的使用等等。
最后,网站服务器脚本运行安全性设置。每种脚本语言的运行效果都不同,有些脚本语言允许访问服务器的根目录,有些则不能运行在服务器根目录,有的只允许访问邮件服务器,但不管是什么脚本,对于有些经验丰富的黑客就可以通过各种手段将服务器用户名和口令发送给他们自己,这个时候,他们就找出站点使用了哪些脚本语言,并研究这些语言的缺陷和漏洞,对服务器进行攻击和篡改。之前,本人曾多次发现有很多朋友的网站被挂上了一段VB或JS脚本,当用户登录网站的会员后台,这些脚本就会自动运行,把用户名和密码盗取,从而导致大量用户账号被盗。所以,我们必须服务器端脚本运行的权限,防止恶意的脚本攻击。