網(wǎng)站系統(tǒng)安全作為企業(yè)網(wǎng)絡(luò)安全防護的重頭戲，網(wǎng)絡(luò)管理員不可掉以輕心。企業(yè)網(wǎng)站作為企業(yè)的臉面，如果一旦被入侵可能會使企業(yè)受到資金損失不說，黑客通過掛馬等方式威脅到了用戶安全，導(dǎo)致企業(yè)信譽下降則是更嚴重的問題。

據(jù)動易公司網(wǎng)絡(luò)安全專家介紹：根據(jù)2007年OWASP 組織發(fā)布的 Web 應(yīng)用程序脆弱性10大排名的統(tǒng)計結(jié)果表明，跨站腳本、注入漏洞、跨站請求偽造、信息泄露等方面的問題仍然是目前黑客流行的攻擊方式，而其中尤以SQL注入攻擊和跨站腳本攻擊為重，所謂的SQL注入攻擊就是利用程序員在編寫代碼時沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，導(dǎo)致入侵者可以通過插入并執(zhí)行惡意SQL命令，獲得數(shù)據(jù)讀取和修改的權(quán)限;而跨站腳本攻擊則是通過在網(wǎng)頁中加入惡意代碼，當(dāng)訪問者瀏覽網(wǎng)頁時，惡意代碼會被執(zhí)行或者通過給管理員發(fā)信息的方式誘使管理員瀏覽，從而獲得管理員權(quán)限，控制整個網(wǎng)站。

那么，對這種黑客攻擊方式有沒有有效的網(wǎng)站系統(tǒng)安全手段進行阻擊呢?據(jù)悉，在SiteFactory™ 內(nèi)容管理系統(tǒng)開發(fā)中，針對各種攻擊方式都制定了相應(yīng)完整的防御方案，并且借助 ASP.NET 的特性和功能，可以有效的抵制惡意用戶對網(wǎng)站進行的攻擊，提高網(wǎng)站的安全性，但就針對目前SQL注入攻擊和跨站腳本攻擊，其更加有效的阻擊手段是什么呢?為此，我們向動易網(wǎng)絡(luò)安全專家了解，他向我們介紹了一些安全手段：

(一)對于SQL注入攻擊：動易系統(tǒng)采用對SQL查詢語句中的查詢參數(shù)進行過濾;使用類型安全的SQL參數(shù)化查詢方式，從根本上解決SQL注入的問題;URL參數(shù)類型、數(shù)量、范圍限制功能，解決惡意用戶通過地址欄惡意攻擊的問題等，這些手段是控制SQL注入的，還包括其它的一些過濾處理，和其它的對用戶輸入數(shù)據(jù)的驗證來防止SQL注入攻擊。

(二)：對于跨站腳本攻擊：在對于不支持HTML的內(nèi)容直接實行編碼處理的辦法，來從根本上解決跨站問題。而對于支持Html的內(nèi)容，我們有專門的過濾函數(shù)，會對數(shù)據(jù)進行安全處理(依據(jù)XSS攻擊庫的攻擊實例)，雖然這種方式目前是安全的，但不代表以后也一定是安全的，因為攻擊手段會不斷翻新，我們的過濾函數(shù)庫也會不斷更新。

另外對于外站訪問和直接訪問我們也做了判斷，從一定程度上也可以避免跨站攻擊。即使出現(xiàn)了了跨站攻擊，我們也會通過網(wǎng)站系統(tǒng)安全手段將攻擊的影響減到最�。�

一、對于后臺一些會顯示HTML內(nèi)容的地方，通過frame的安全屬性security="restricted"來阻止腳本的運行(IE有效);

二、使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密(IE6 SP1以上、Firefox 3);

三、身份驗證票據(jù)都是加密過的;

四、推薦使用更高版本的IE或者FF。