• 其它網站建置相關
  • import_contacts 網頁資訊安全介紹
    68
適用範圍

網頁設計師、工程師及網頁管理者

實用性:
重要性:

前言

網際網路的發展,改變了人們的生活型態,大部份的人已經習慣在網頁上查找資料或從事買賣交易。購物更加便利了,但是隨著購物的同時我們也會在網頁上留下個人的基本重要資訊,隨之而來的是令人擔憂的資訊安全問題,因此,做好資訊安全防護措施,才能在安全的環境下便利的瀏覽資訊及購物。

一般網路常見的資訊攻擊模式及防止入侵方式如下:

伺服器(Web Server)

攻擊模式:
  • 透過FTP連接進入主機,並修改網頁或Access資料庫內容。
  • 使用遠端桌面,直接操作伺服器。
  • 植入病毒(木馬),竊取伺服器中的資料或將伺服器當網路攻擊跳板。
  • 透過其它Port侵入主機竊取資料。
防止入侵方式:
  • 定期更換FTP密碼,並加強密碼強度,同時限制連線IP,必要的話可更改Port號。
  • 遠端桌面功能使用後即關閉,若需長時間開啟則限制IP並加強帳密強度。
  • 安裝Server版防毒軟體,並盡量避免使用隨身硬及透過網路下載檔案或安裝來路不明之軟體。
  • 關閉沒有在使用通訊埠(Port),並關閉沒有使用之系統服務(如Mail、SSL…等)。
  • 安裝防火牆。
  • 定期更換管理者密碼,並加強密碼強度。

駭客 (Hacker)

攻擊模式:
  • 透過後台帳密,直接修改資料庫內容。
  • 透過表單,植入SQL碼,執行駭客攻擊器。
  • 透過網址之「參數」,植入SQL碼,執行駭客攻擊。
  • 使用連續點擊程式,大量連續點擊網頁,造成網站癱瘓或網路速度變慢。
  • 使用「暴力登錄」程式,透過表單不斷猜測管理者或會員帳號及密碼。
防止入侵方式
  • 加強後台帳密之強度,並定期更換密碼,不將後台網址告知非相關人員,長時間離開座位先登出後台。
  • 程式設計於製作時需使用安全性之撰寫方式,並加強過濾特殊字元。
  • 若參數有敏感資訊,需使用編碼,並過濾特殊字元。
  • 安裝防火牆,阻擋惡意點擊IP。
  • 於表單增加「驗證碼」機制。
  • Cookies中避免記錄個人敏感資料。
  • Session登出時間避免過長。

資料庫(DataBase)

攻擊模式:
  • 透過ip及帳密,直接連入SQL主機。
  • 使用遠端桌面,直接操作伺服器。
  • 植入病毒(木馬),竊取伺服器中的資料或將伺服器當網路攻擊跳板。
  • 透過其它Port侵入主機竊取資料。
防止入侵方式:
  • 定期更換連線密碼,並加強密碼強度,同時限制連線IP,必要的話可更改Port號。
  • 盡量避免使用遠端桌面,使用時務必關閉。
  • 安裝Server版防毒軟體,並盡量避免使用隨身硬及透過網路下載檔案或安裝來路不明之軟體。