随着WEB应用的发展,使网站产生越来越重要的作用,而越来越多的网站在此过程中也因为存在安全隐患而遭受到各种攻击,例如网页被挂马、网站SQL注入,导致网页被篡改、网站被查封,甚至被利用成为传播木马给浏览网站用户的一个载体。而作为对网站维护,除了平时日常工作之外,网站安全的检查也成网站维护必须要做的事情。 针对对网站被攻击方式来看主要有以下几种: Cookie假冒—精心修改cookie数据进行用户假冒; 认证逃避—攻击者利用不安全的证书和身份管理; 非法输入—在动态网页的输入中使用各种非法数据,获取服务器敏感数据 ; 隐藏变量篡改—对网页中的隐藏变量进行修改,欺骗服务器程序; 拒绝服务攻击—构造大量的非法请求,使Web服务器不能相应正常用户的访问 ; 跨站脚本攻击—提交非法脚本,其他用户浏览时盗取用户帐号等信息 ; SQL注入—构造SQL代码让服务器执行,获取敏感数据。 而这一切源自于网站漏洞存在,当然,要让网站一个漏洞都不存在是不可能的,但只要能够及早发现漏洞,及时修补漏洞就可以啦。 在扫描网站漏洞这一块,还是有很多相关扫描工具的。在这我就不多说,就简单写一下我现在用的扫描工具。我现在用的是亿思网站安全检测平台(h t t p: / / w w w . i i s c a n . c o m);由于它提供了免费服务和扫描功能还可以,我就一直用下去。作为维护的,主要对网站进行一下安全检测。所以我们可以在注册和对网站认证(不认证是无法扫描的),认证完把任务提交就可以了,由于一般检测时间较长,所以建议在提交关掉网页可以,它会通过邮件把报告发送给你,还有就是它还有监控管理功能,可以设定时间对网站进行扫描。 不是扫描完就完工,它没有像360那样有一健修补功能,因为是网站,也不能随意加以修改,只有自己动手才可以,你可以根据扫描报告和提示进行相关修补工作。