本文目录一览:
- 1、标准建站服务建设一个网站要多长时间?是什么样的流程?
- 2、数据库管理员的权限被撤销了如何恢复
- 3、metinfo授权与不授权区别
- 4、内页不被收录到底什么原因
- 5、php漏洞怎么修复
标准建站服务建设一个网站要多长时间?是什么样的流程?
网站建设规范之一:网站程序安全性
网站程序的安全是系统开发人员必须考虑的重要因数之一,因为这涉及到网站的建设者、网站用户的诸多安全问题,如果不处理好,可能会给系统的使用者和管理者带来严重问题。同时Web应用程序的安全解决方案不仅是技术问题,还涉及到管理等多个方面。但本文仅从四个最常见的、基本的、可通用的方面加以介绍,并对每个安全问题从:为什么、怎样解决、怎样检测三个层次以自问自答的方式加以通俗易懂的介绍。
其实此四种技术开发人员都可能使用过其中一种或者都使用过,但是有时我们在开发的过程中并没有特意的引起重视,在每一个细节的处理时未注意网站的安全性,结果可能导致一些安全漏洞。希望通过此文使开发人员能够更加注重系统安全性,尤其测试人员能够通过监督去保证系统的安全性,提高产品质量。
1 防止SQL注入技术
为什么必须防止SQL注入?
相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的网站扫描,就能发现部分网站存在SQL注入漏洞,用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。
怎样防止SQL注入?
比如URL、表单等提交信息时,通过一段防止SQL注入的过滤代码即可防止出错信息暴露,或者通过转向,当系统出错时转到一个提示出错的页面等。同时服务器权限设置是一个非常重要的方面,由于涉及到服务器的配置比较多,本文不介绍。
对于文本型输入,如果要进行检查,就得根据字段本身的性质进行。例如如果是年龄,就得限定必须是数字,大小必须限定在一个范围之间,比如说18-120之间。对于用户名,应该建立一个集合,这个集合里存放有被允许的字符,或被禁止的字符。
这里特别需要说明的一点是关于检查程序的问题。目前,程序对输入数据的检查是在前台通过客户端脚本完成的,这样攻击者很容易就可以绕过检查程序。建议采用前后台结合的方法,既可以保证效率,有可以提高安全性。
怎样测试程序已防止了SQL注入?
如 ,此网站用ID来传送数值,如果在ID数值后面加一个SQL敏感符号,英文单引号“’”,打开此链接,如果出现的是浏览器的默认出错提示,则需要设置浏览器,使其错误提示出现,方法为打开浏览器:选项—Internet选项—高级,在设置里找到显示友好的HTTP错误信息勾掉,确认后再刷新,如果此时出现了数据库出错的提示,如:Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e21',那么说明本程序并没有防止SQL注入,反之如果只出现了如:“提醒您, URL有误,请与管理员联系”之类的提示,说明SQL已经防止了注入。检测表单方法如:如提交脚本,在输入框中输入特殊字符如:script_等,在此不再叙述,测试者可以在网上找到很多这样的方法。
2验证码技术
为什么必须使用验证码?
普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
怎样使用验证码技术?
所谓验证码,就是将一串随机产生的数字或符号,生成一幅图片,图片里加上一些干扰象素,由用户肉眼识别其中的验证码信息,输入表单提交网站验证,验证成功后才能使用某项功能。放在会员注册、留言本等所有客户端提交信息的页面,要提交信息,必须要输入正确的验证码,从而可以防止不法用户用软件频繁注册,频繁发送不良信息等。
怎样测试验证码是否有效?
必须保证所有客户端交互部分都输入验证码,测试提交信息时不输入验证码,或者故意输入错误的验证码,如果信息都不能交,说明验证码有效,同时在验证码输入正确下提交信息,如果能提交,说明验证码功能已完善。 3 密码加密技术
为什么必须使用密码加密?
没有经过MD5加密的密码直接显示在数据库表中,如果被黑客下载数据,查出数据库中的密码,或者内部开发人员通过数据库查出用户的密码,都对以后用户的信息安全造成很大的影响。如果使用MD5加密后的密码,在数据库中看到的是一连串经过加密的字符串,不能看到真正的密码,这样能更好地保护网站的安全。虽然黑客也可以使用暴力破解,但是我们再结合生成图片验证码技术,那暴力破解的难度就将大大增强。
怎样使用MD5加密技术?
MD5的全称是Message-Digest Algorithm 5,当用户登录的时候,系统把用户输入的密码计算成MD5值,然后再去和保存在文件系统中的MD5值进行比较,进而确定输入的密码是否正确。通过这样的步骤,系统在并不知道用户密码的明码的情况下就可以确定用户登录系统的合法性。这不但可以避免用户的密码被具有系统管理员权限的用户知道,而且还在一定程度上增加了密码被破解的难度。
怎样测试密码已经加密?
凡是经过加密的密码,系统功能上多半有找回密码的功能,这是表面的测试,测试人员可以调用开发人员的数据表,查询是否经过加密,从而保证系统密码的安全,一般对具有大量会员的商业性网站必须使用。 4 数据备份技术
为什么必须使用数据备份?
当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
怎样使用数据备份?
一般人认为数据备份就只是数据库的备份,其实还有动态变化的图片、文件等也需要备份,因为文件、图片一般我们是不写入数据库里保存的。
一般我们采用数据库系统自动定时备份、定时自动删除几天以前的数据等,即可完成数据的备份功能。而图片、文件一般是不能自动备份,需要手工操作,所以我们必须要定期手工对网站的图片、文件进行备份操作。
怎样测试数据已经备份?
对于已经做好的网站,数据库系统都会自动备份到服务器某个文件夹下,那么测试时我们就需要让程序开发人员提供可以下载数据备份文件的路径,即可知道是否已经做了自动备份功能,而自动备份间隔时间的确定,需要根据网站的更新频率来决定。 本文仅介绍四种网站程序的安全的解决方案,以及在此基础上的检测方法,以保证系统产品的安全性,提高产品质量,至于具体的详细操作,方法有许多种,在此不予介绍。
网站程序的安全还有许多需要介绍的,尤其是服务器的配置,比如我们必须坚持服务器配置权限最小化原则等,在此仅从程序上去介绍,此四种网站程序的安全标准适合所有以数据库为基础的网站程序,无论你使用什么样的开发语言,什么样的开发平台,都需要做好以上四个方面。
数据库管理员的权限被撤销了如何恢复
1.)所有语言都没有权限
1.登录数据库管理平台,进入phpMyadmin管理数据库平台。
2.选定数据库=》点击***_admin_table表(表前缀根据安装时候设置,会有所不同)=》浏览当前数据就是管理员与会员信息列表。、admin_id列就是用户名,选定一个用户点编辑。(绿色框框处)
3.编辑admin_type。
4.0解决办法:如果只有中英两种语言,把en-metinfo,cn-metinfo复制到admin_type字段保存即可。(此处格式为 语言标识-metinfo,不同语言用逗号隔开)
3.0解决办法:把metinfo复制到admin_type字段保存即可。
metinfo授权与不授权区别
根据MetInfo企业网站管理系统使用协议,除个人网站和非盈利性机构网站外,其他所有商业用途的网站均需要购买商业版权。购买商业版权在法律层面是强制,但是实际操作中,MetInfo官方从未强制用户购买商业版权,也不会追踪查看用户是否经过官方授权,只有在以下几种情况,官方将要求出示授权证明或进行法律诉讼:
1、非法去除官方版权标识且进行非法销售的行为;
2、非法购买所谓的“破解版“的网站;
3、非法去除官方版权标识的网站;
4、委托他人建站未经商业授权非法去除版权标识的网站;
5、需要MetInfo相关商业用户技术支持时,请出示授权证明;
鉴于中国的版权保护环境和意识,官方建议用户使用MetInfo建站时,如果没有能力或意愿购买商业版权,请务必保留版权标识和底部官方版权链接,以免产生不必要的法律纠纷。
MetInfo没有精力也没有能力去跟踪所有的免费用户,反而希望大家在保留官方版权的前提下免费使用MetInfo,我们的理念是”为合作伙伴创造价值“,我们相信MetInfo的产品和服务最终是能为用户带来效益的,同时我们也相信诚信的用户在盈利之后会购买商业版权或帮助MetInfo继续发展。
相关文章:
1、商业版和免费版在系统功能上有区别吗?
2、不购买商业授权是否会被官方追究?
3、如何获取MetInfo网站管理系统商业授权?
4、免费使用MetInfo需要保留哪些官方版权标识?
5、什么是商业授权?
6、商业授权相关常见问题
7、商业授权查询:
8、MetInfo企业网站管理系统使用协议:
内页不被收录到底什么原因
相信许多站长都曾遇到过优化的时候,每天都在更新文章,每天都在发外链,可是内页就是不收录,针对这种现象,MetInfo为各位分析下可能造成内页不被收录的原因
1、蜘蛛根本没有爬行
可以分析下网站的日志,看蜘蛛是否爬行过内页链接,如果没有爬行过,查看robots.txt当中是否禁止了蜘蛛进相关内页,可能公司技术人员,对SEO不是很了解,对robots文件的写法也不懂,就有可能禁止了蜘蛛在内页的爬行。所以我们首先要检查一下robots文件。
2:爬行但没抓取
这当中有2种可能性:1,网页没有内容 2,内容质量度不高,无论哪种原因,都可能造成蜘蛛爬行却不抓取内容的原因,网站内容好坏直接关系到蜘蛛的友好度,所以要提升网站内容质量,多提供有价值的内容。
3:抓取但是依然没收录
抓取之后就会进入百度的快照数据库,蜘蛛会继续检测内容的质量度跟原创度,这段时间网页也是没被收录的,不过只要内容合格,基本上很快就会被放出来供他人能够通过搜索引擎搜到了。
如果你在网站推广过程中碰到了不收内页的情况,基本上就会是这些原因。其实要避免网站不收录内页的情况很简单,让自己的网站有新意一点,内容坚持原创性,不要在代码上面禁止了蜘蛛的索引,基本上就不会碰到这种情况的。当然,也要给蜘蛛一些耐心。
php漏洞怎么修复
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数据库,以及后端服务器进行攻击,该metinfo漏洞影响版本较为广泛,metinfo6.1.0版本,metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击。
metinfo建站系统使用的PHP语言开发,数据库采用的是mysql架构开发的,在整体的网站使用过程中,简单易操作,可视化的对网站外观进行设计,第三方API接口丰富,模板文件较多,深受企业网站的青睐,建站成本较低可以一键搭建网站,目前国内使用metinfo建站的网站数量较多,该metinfo漏洞会使大部分的网站受到攻击影响,严重的网站首页被篡改,跳转到其他网站,以及网站被劫持跳转到恶意网站上,包括网站被挂马,快照被劫持等情况都会发生。
关于该metinfo漏洞的分析,我们来看下漏洞产生的原因:
该漏洞产生在member会员文件夹下的basic.php代码文件:
metinfo独有的设计风格,使用了MVC框架进行设计,该漏洞的主要点在于使用了auth类的调用方式,在解码加密过程的算法中出现了问题,我们再来看下代码:
通常加密,以及解密的算法是不可以可逆的,但是metinfo写的代码可以进行伪造函数值进行逆算,我们看这个构造的恶意函数,这里的key值是从前端met_webkeys值里进行获取,将获取到的webkeys值进行写入,并赋值到配置文件里,config目录下的config_safe.php代码里。我们通过查看这个代码,发现写入的值没有办法进行PHP脚本的执行,本来以为可是伪造key值进行写入木马,发现行不通,但是在这个伪造key值的过程可以进行sql注入攻击,采用是延时注入方式进行
关于metinfo漏洞的修复建议,以及安全方案
目前metinfo最新版本发布是2019年3月28日,6.2.0版本,官方并没有针对此sql注入漏洞进行修复,建议网站的运营者对网站的后台地址进行更改,管理员的账号密码进行更改,更改为数字+字符+大小写的12位以上的组合方式,对网站的配置文件目录进行安全限制,去掉PHP脚本执行权限,如果自己对代码不是太熟悉,建议找专业的网站安全公司来处理修复漏洞,国内SINE安全,以及绿盟,启明星辰,都是比较不错的网站漏洞修复公司。
