太原SEO
专注关键词排名

白帽SEO之网站安全web安全篇 太原SEO-web安全

最近一段时间由于公司人员的变动,小忙的一阵子以至于好几天没有更文了,最近老大也回归了,新人也走上了正规,我刚好可以甩甩手写几篇文章,最近一直在写黑帽SEO领域的文章,李毅分享的大多是利用自己的资源或者是购买资源来做,对于劫持方面也仅仅是做了网站劫持实例剖析,也介绍过服务器被DDOS攻击怎么办,看过李毅往期的文章的朋友都知道像阿里云抗DOOS的能力是非常强的,也就是说我们在选择好规模比较强大的服务器租赁公司之后,剩下的更重要是我们网站方面的安全,除了之前提及的这些方面,还有更重要的是web安全,web在安全方面涉及的内容也是很多的,下面李毅就给大家一一介绍下。

web安全

web安全

XSS

这种方式是黑帽SEO通过“HTML注入”篡改了网页内容,植入了恶意代码,像此类代码我们一般可以通过查看网页的HTML源码就可以查出篡改情况,植入的恶意代码一般都是做了加密的代码,这时我们需要进行代码的解码之后就可以看出植入恶意代码的情况。李毅身边就有很多的朋友在做CMS插件开发的,他们会做一种防XSS插件来避免这种情况发生,这类防XSS插件原理就是审查元素改了网页代码,就自动复原并弹窗,超过三次就黑名单了,当然也还有其他的方法是加SSL证书以及做dom监听。

反射XSS

当站长登陆网站后台的时候,黑帽SEO通过网站后台将恶意URL提交给站长,当站长点击该恶意URL时,服务器对攻击者的javascript做出回应,攻击者的javascript在站长的浏览器中执行,站长的浏览器给攻击者发送会话令牌,这时黑帽SEO就成功劫持站长的网站后台。

web安全

web安全

存储型的XSS

黑帽SEO将代码植入网站的文章或者个人信息展示页中,当网站内容审核过滤不严时,该代码就是经过后端存储到网站的数据库中,当有用户访问该页面时就会触发该代码,李毅举例说明下,加入代码是<script>alert(1)</script>,当用户触发该代码浏览器显示用户签名时,就会触发弹窗,当然这里只是做演示,实际情况中脚本会执行各种动作,比如获取Cookie或所有本地存储并发送到某处,打开一个非法网址等等。

DOM Based XSS

通过修改页面的DOM节点形成的XSS,不经过后端。比如前端直接通过获取URL参数渲染页面DOM,即页面弹窗。遇到这种情况,一般可以使用对HTML字符编码转义来防范XSS。

web安全

web安全

SQL注入

当用户在输入的字符串中注入SQL语句,当网站对用户信任对该字符串不做任何处理过滤的话,就会被数据库当作是正规的信息然后执行,比如后端代码:

$un = @$_POST[‘un’];

$pw = @$_POST[‘pw’];

// …

$sql = “select * from user where un=’$un’ and pw=’$pw'”;

前端输入时,我们将un赋为admin,pw赋为’ or ‘1’=’1。则整个 SQL 语句会变为:

select * from user where un=’admin’ and pw=” or ‘1’=’1′

SQL注入这么常见出名的手法,相信大家都是非常熟悉SQL注入的,这里李毅就不赘述了。

web安全

web安全

劫持

在之前李毅就做过一次网站劫持实例剖析,大家可以查看李毅之前的文章,像之前那个中国氢能网的案例,网站是因为挂了JS代码,当网站通过快照打开的时候就会跳转到某菠菜站,查看劫持的方法也是通过检查网站的HTML代码,发现有部分加密代码,将这些代码进行解码就会发现调用的js代码,对于劫持问题,可以给网站加SSL证书再注意下网站的其他安全问题就能有效的避免这种情况。

DNS劫持

DNS劫持一般的因为黑帽SEO劫持了DNS服务器,通过某些手段取得某域名的解析记录控制权,然后修改了该域名的解析结果,导致用户对该域名地址的访问由原IP地址转入到修改后的指定IP地址的现象,其结果就是让正确的网址不能解析或被解析指向另一网站IP,实现获取用户资料或者破坏原有网站正常服务的目的。DNS劫持一般通过篡改DNS服务器上的域名解析记录,来返回给用户一个错误的DNS查询结果实现。DNS劫持也没有好的解决方法,尽量外出不蹭网,网站尽量使用HTTPS协议。

总结:关于网站web安全方面的东西就介绍到这里了,在了解了这些安全问题以后,我们需要尽可能的做好网站安全防护,对于服务器把该关闭的端口关掉,安装好安全狗,开启网站防火墙,网站申请SSL证书,设置好网站程序的权限,注意密码不要过于简单,删除不需要的文件目录。目前我们公司计划往自媒体和短视频的方向发展。李毅将会分享更多的流量案例,希望朋友们继续关注我,如果其他站长朋友有更好的看法请在文章下方留言一起交流分享。

 

赞(0) 打赏
【本站文章禁止任何媒体转载,侵权必究!】太原SEO - 专注关键词排名「免费指导」 » 白帽SEO之网站安全web安全篇
分享到: 更多 (0)

评论 11

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #1

    罚单代缴3个月前 (01-18)回复
  2. #2

    挺专业啊

    学历提升免考3个月前 (01-18)回复
  3. #3

    学习

    响石潭3个月前 (01-18)回复
  4. #4

    我今天发现我博客居然权2了。来的这么快,你说会不会有问题。

    青山3个月前 (01-18)回复
    • 青山小兄弟的网站做的很好啊,上权重很正常,要想权重稳定继续更新优质内容。

      李 毅3个月前 (01-19)回复
  5. #5

    老铁,我最近也筹备做一个seo的地方站,啊哈哈,到时候做好给你看

    大事记3个月前 (01-19)回复
  6. #6

    哈哈,不错哟

    点滴记录3个月前 (01-19)回复

太原SEO - 专注关键词排名「免费指导」

SEO新手入门太原SEO服务项目

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏