保護(hù)要求：目前安全攻擊技術(shù)多，方法更新快，安全評(píng)價(jià)周期必須縮短，保證全網(wǎng)安全防護(hù)和攻擊防護(hù)。
SQL注入攻擊：這種攻擊是由于用戶在前端頁面輸入數(shù)據(jù)時(shí)，后臺(tái)程序沒有過濾輸入的字符，異常數(shù)據(jù)直接和SQL語句組成正常的執(zhí)行語句去執(zhí)行，導(dǎo)致不需要密碼就能夠直接登陸，泄露網(wǎng)站的信息。因此攻擊者可以構(gòu)造隱蔽的SQL語句，當(dāng)后臺(tái)程序執(zhí)行語句時(shí)，攻擊者未經(jīng)系統(tǒng)和程序授權(quán)就能修改數(shù)據(jù)，甚至在數(shù)據(jù)庫服務(wù)器上執(zhí)行系統(tǒng)命令，對(duì)網(wǎng)站的安全體系帶來嚴(yán)重威脅。這種漏洞的根本原因是，編程人員在編寫程序時(shí)，代碼邏輯性和嚴(yán)謹(jǐn)性不足，讓攻擊者有機(jī)可乘。早期的SQL查詢方式存在很大問題，使用了一種簡(jiǎn)單的拼接的方式將前端傳入的字符拼接到SQL語句中。現(xiàn)在通常采用傳參的方式避免SQL注入攻擊例如使用MYBAIIS框架替代早期對(duì)數(shù)據(jù)庫的增刪改查方式，因此，防止這種攻擊辦法的方式是完善代碼的嚴(yán)謹(jǐn)性，另一方面是對(duì)網(wǎng)站原有代碼重新梳理、編寫，以安全的方式執(zhí)行SQL語句查詢的執(zhí)行。

很明顯這樣就拼接成了一條可以執(zhí)行的sql語句，然后會(huì)提交給數(shù)據(jù)庫去執(zhí)行了 通過以析對(duì)以上的簡(jiǎn)單案例其實(shí)我們可以看到我們只要拿到執(zhí)行的sql語句基本就可以判斷是否存在注入了，而無需讓sql繼續(xù)去提交給數(shù)據(jù)庫引擎去執(zhí)行，在做安全評(píng)估時(shí)經(jīng)常會(huì)遇到的一個(gè)問題就是擔(dān)心產(chǎn)生臟數(shù)據(jù)，舉個(gè)例子，假如開發(fā)同學(xué)對(duì)username做了過濾，假設(shè)只留了or "1可以提交通過，那么在我們進(jìn)行測(cè)試的時(shí)候就有風(fēng)險(xiǎn)把其他人的信息全部改掉，相信身邊人有遇到過通過加 or 1=1把表中全部信息都改掉的光輝歷史，那么假如我們可以獲取到提交請(qǐng)求的詳細(xì)信息以及這些請(qǐng)求帶來了哪些數(shù)據(jù)交互也就是執(zhí)行了哪些sql語句，我們是不是可以做更多的事情呢？

接下來我們就要進(jìn)入到邏輯漏洞的挖掘環(huán)節(jié)了，大家有沒有一點(diǎn)小期待啊，好了，不扯了，下面我們進(jìn)入正題。邏輯漏洞是很多的工具所無法發(fā)現(xiàn)的，大部分都是手工挖掘出來的。經(jīng)過測(cè)試我們會(huì)發(fā)現(xiàn)，本網(wǎng)站內(nèi)商品存在兩項(xiàng)漏洞，總體思路如下：在提交訂單時(shí)，后端未校驗(yàn)用戶購買的數(shù)量和前端提交的數(shù)量是否一致；第二項(xiàng)，攻擊者可以通過更改購買某一商品，這一產(chǎn)品的數(shù)量限制，創(chuàng)建訂單提交支付請(qǐng)求后，使攻擊者即使在未完成訂單支付前，也會(huì)扣除商品庫存，使惡意用戶可以無限制下單，導(dǎo)致他人無法參與購買這一產(chǎn)品，惡意用戶也可以將所有商品的庫存為0，使其他用戶購買時(shí)，將顯示庫存不足，無常購買。

網(wǎng)站被掛馬自從有了互聯(lián)網(wǎng)，木馬就一直伴隨著存在，專找一些不夠安全的主機(jī)和存在漏洞的服務(wù)器下手，而一旦被植入了木馬，阿里云檢測(cè)到后就會(huì)給予關(guān)停。這時(shí)候就需要讓技術(shù)人員來排查木馬并徹底。(如果是你自己寫的網(wǎng)站熟悉還好，不是自己寫的，建議找的網(wǎng)站安全公司來處理解決網(wǎng)站被入侵被篡改的問題，像Sinesafe，綠盟，深信服那些做網(wǎng)站安全防護(hù)的安全服務(wù)商來幫忙。)
定期檢測(cè)即使我們解決了這次的問題，我們?cè)谌蘸蟮倪\(yùn)營過程中也不可掉以輕心，要做到定期的檢測(cè)，不要嫌麻煩，這次你要嫌麻煩，下次麻煩找上你。早發(fā)現(xiàn)早處理根據(jù)上述客戶反映的問題，對(duì)客戶的網(wǎng)站進(jìn)行全面的安全檢測(cè)，客戶網(wǎng)站使用的是dedecms織夢(mèng)建站系統(tǒng)，對(duì)網(wǎng)站代碼進(jìn)行人工的安全檢測(cè)與審計(jì)，發(fā)現(xiàn)網(wǎng)站的根目錄下被上傳了網(wǎng)站木馬文檔，經(jīng)仔細(xì)查看，被上傳了一句話木馬后門，以及php腳本木馬，網(wǎng)站的首頁文檔都被篡改了，標(biāo)題，描述，都被添加了一些cai票內(nèi)容的關(guān)鍵詞，客戶網(wǎng)站在百度收錄中，也收錄了大量的惡意內(nèi)容快照。隨即我們對(duì)木馬文檔進(jìn)行了，對(duì)網(wǎng)站存在的代碼漏洞，進(jìn)行了修復(fù)，dedecms存在遠(yuǎn)程代碼執(zhí)行漏洞，以及sql注入漏洞，我們都一一對(duì)其進(jìn)行了漏洞修復(fù)，對(duì)網(wǎng)站安全進(jìn)行了部署，文檔夾的安全權(quán)限，以及腳本執(zhí)行權(quán)限，PHP安全限制，客戶網(wǎng)站恢復(fù)正常。
SINESAFE為了幫助網(wǎng)站維持長(zhǎng)的正常運(yùn)行時(shí)間，可以采用冗余性（備份和服務(wù)器的失效轉(zhuǎn)移）來保護(hù)網(wǎng)站。備份可以幫助避免客戶端數(shù)據(jù)的丟失，而備份服務(wù)器可以避免服務(wù)器遭到徹底毀滅時(shí)不用從頭開始構(gòu)建新的服務(wù)器。
http://www.agrivod.com