360网站安全检测高危到网站安全比肩360的过程_360网站安全检测100分
2014-08-03 10:33:52  By: dwtedx

我的站点dwtedx个人博客www.dwtedx.com

以前用360安全检测只有40分左右、也是处于高危状态

那么我是怎么做到将网站得分提升至100分的呢、下面我就来分享一下我的经验

有图有真像、还是先给大家看一下我博客的得分

相信用的360网站安全检测的站长们都要对这个页面不陌生、相信各位看到这篇文章的站长都想得到这个分数

我的博客在第一次接受360安全检测的时候得分实在是很可怜大概分以下两点

一、没有严格验证 session 里面的用户信息

我的数据库都被入侵了、我记得我数据库里面全部都 8888 的字样

当时我还以为是黑客来了、吓惨了(当时也是刚刚建站)随后我就多翻了几页数据库

发现这个360的ip123.125.160.217

随后一查才知道是360网站安全检测的ip、第一次检查的时候 写博文的页面http://www.dwtedx.com/forumsend.html

丰富在跨越攻击的风险、所以数据库全是 8888 的字样、的确是安全性做不够

我的解决方案就是把网站的session 做严格的验证、代码处理是这样的


isset($_SESSION[´userId´])
第一次检测的时候差不多都是这个问题、在往数据库写数据的时候没有严格验证 session 里面的用户信息


二、SQL注入的问题

sql注入的问题呢、差不多的页面都有、当时我只解决了部分页面的问题、解决的都是高危的 SQL注入问题

因为我对外开发的写博文分享技术的功能、这两个页面的 SQL注入问题是最大的

1、我的解决方案是这样的 2分钟之内不能重复写博文和分享技术

后台是通过用户的ip和上一次写博文或者分享技术的时间来控制的

2、在后台做 HTML处理

$content = strip_tags($content);// 删除所有HTML标签
这个是判断是否为空的方法、另外如果是用户填写了HTML 源代理、那么我们得在后台做转义
htmlentities($str,ENT_COMPAT,"UTF-8")
这样就能确保不被 SQL注入了


以上解决的高危的 SQL注入、当我再检测的时候、得分是98分、还是存在两个轻微的SQL注入

当时我没有找到问题的原因、就一直放在那里没有处理了

直到前两天我发现我打开我的博客有恶意广告我才重视了这两个轻微的SQL注入

当我排查了很久之后才发现是运营商搞的鬼、也就是艾普宽带强制添加的广告

这里请参考我另外一篇文章艾普宽带好吗、艾普宽带广告植入、禁止PING、共享IP访问互联网

好了、言归正转、还是跟大家分享一下我是怎么解决两个

三、轻微SQL注入的

先给大家看下我后台的日志、也就是轻微SQL注入的方法、相信大家一个就懂


http://www.dwtedx.com/individualdoc.html?code=<script>alert(42873)</script> 


这个就是黑客通过参数来注入SQL的方式


那么解决方案也很简单、就是对转入的参数进行严格的验证

以保证数据的有效性、因为我的参数是数值类型的、所以我的解决方案是这样的


if(is_numeric($_GET[´code´])){
	//使用参数
}

希望我的博文能够帮助各位站长提升 360网站安全检测的得分

若资源对你有帮助、浏览后有很大收获、不妨小额打赏我一下、你的鼓励是维持我不断写博客最大动力

想获取DD博客最新资讯、你可以扫描下方的二维码、关注DD博客微信公众号(ddblogs)

或者你也可以关注我的新浪微博、了解DD博客的最新动态:DD博客官方微博(dwtedx的微博)

如对资源有任何疑问或觉得仍然有很大的改善空间、可以对该博文进行评论、希望不吝赐教

为保证及时回复、可以使用博客留言板给我留言: DD博客留言板(dwtedx的留言板)

感谢你的访问、祝你生活愉快、工作顺心、欢迎常来逛逛


快速评论


博文评论

  • 该博文还没有评论、赶快抢沙发吧...
DD记账
top
+