关于网站编码完成后，上线前的安全检查

网站安全

主要从以下三个方面检查：1 攻击分类 2 应用攻击 3 攻击手段

攻击分类

1、利用Web服务器的漏洞进行攻击。如CGI缓冲区溢出，目录遍历漏洞利用等攻击；
2、利用网页自身的安全漏洞进行攻击。如SQL注入，跨站脚本攻击等。

应用攻击

1、缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。
2、Cookie假冒——精心修改cookie数据进行用户假冒。
3、认证逃避——攻击者利用不安全的证书和身份管理。
4、非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据。
5、强制访问——访问未授权的网页。
6、隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序。
7、拒绝服务攻击——构造大量的非法请求，使Web服务器不能响应正常用户的访问。
8、跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息。
9、SQL注入——构造SQL代码让服务器执行，获取敏感数据。
10、URL 访问限制失效——黑客可以访问非授权的资源连接强行访问一些登陆网页、历史网页。
11、被破坏的认证和 Session 管理——Session token 没有被很好的保护 在用户推出系统后，黑客能够盗窃 session。
12、DNS攻击——黑客利用DNS漏洞进行欺骗DNS服务器，从而达到使DNS解析不正常，IP地址被转向导致网站服务器无法正常打开。

攻击手段

SQL注入
对于和后台数据库产生交互的网页，如果没有对用户输入数据的合法性进行全面的判断，就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码，使后台应用执行攻击着的SQL代码，攻击者根据程序返回的结果，获得某些他想得知的敏感数据，如管理员密码，保密商业资料等。
跨站脚本攻击
由于网页可以包含由服务器生成的、并且由客户机浏览器解释的文本和HTML标记。如果不可信的内容被引入到动态页面中，则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交，他就可以在网上上提交可以完成攻击的脚本，如JavaScript、VBScript、ActiveX、HTML
或 Flash 等内容，普通用户一旦点击了网页上这些攻击者提交的脚本，那么就会在用户客户机上执行，完成从截获帐户、更改用户设置、窃取和篡改cookie到虚假广告在内的种种攻击行为。
随着攻击向应用层发展，传统网络安全设备不能有效的解决目 前的安全威胁，网络中的应用部署面临的安全问题必须通过一种全新设计的高性能防护应用层攻击的安全防火墙——应用防火墙来解决。应用防火墙通过执行应用会话内部的请求来处理应用层。应用防火墙专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻击，设法得到命令串或逻辑语句的逻辑内容攻击，以及以账户、文件或主机为主要目标的目标攻击。
DNS攻击
黑客使用常见的洪水攻击，阻击DNS服务器，导致DNS服务器无法正常工作，从而达到域名解析失败，造成网站无法访问。

3安全检测

一、进行网站安全漏洞扫描
由于现 在很多网站都存在sql注入漏洞，上传漏洞等等漏洞，而黑客通过就可以通过网站这些漏洞，进行SQL注入进行攻击，通过上传漏洞进行木马上传等等。所以网站安全检测很重要一步就是网站的漏洞检测。
有一些在线的网站漏洞检测工具，可以免费进行漏洞扫描和网站安全检测。
说明：对于发现的网站漏洞要及时修补。
二、网站木马的检测
网站被挂马是非常普遍的事情，同时也是最头疼的一件事。所以网站安全检测中，网站是否被挂马是很重要的一个指标。
其实最简单的检测网站是否有挂马的行为，一些杀毒软件有在线安全中心，可以直接提交URL进行木马检测。
说明：网站被挂马是严重影响网站的信誉的，如有被挂马请暂时关闭网站，及时清理木马或木马链接的页面地址。
三、网站环境的检测
网站环境包括网站所在服务器的安全环境和维护网站者的工作环境的安全
很多黑客入侵网站是由于攻击服务器，窃取用户资料。所以在选择服务器时要选择一个有保证的服务商，而且稳定服务器对网站的优化和seo也很有帮助的。
而站长或维护着所处的环境也非常重要，如果本身系统就存在木马，那么盗取帐号就变得很简单了。故要保持系统的安全，可以装必要的杀毒软件，还有就是帐号和密码要设置复杂一些。
四、其它检测
黑链检测，由于现 在黑链的利润很高，故现 在更多黑客入侵网站目的就是为挂链接，而被挂黑链会严重影响SEO的优化。
具体检测方法：
例如可以利用一些小工具查看有那些链接是PR比较低而且又比较陌生的链接就可能是黑链，将黑链删除就可以。
五、远程连接检测
打开宽带连接，进行宽带的检测和IP地址的检测。以防止恶意的窃取用户资料。

4结构设计

网站结构设计是网站设计的重要组成部分。在内容设计完成之后，网站的目标及内容主题等有关问题已经确定。结构设计要做的事情就是如何将内容划分为清晰合理的层次体系，比如栏目的划分及其关系、网页的层次及其关系、链接的路径设置、功能在网页上的分配等等，以上这些都仅仅是前台结构设计，而前台结构设计的实现需要强大的后台支撑，后台也应有良好的结构设计以保证前台结构设计的实现。显然网站的结构设计是体现内容设计与创意设计的关键环节。理清网页内容及栏目结构的脉络，使链接结构、导航线路层次清晰；内容与结构要突出主题。

5安全措施

1、登录页面加密
在登录之后实施加密有可能有用，这就像把大门关上以防止马儿跑出去一样，不过他们并没有对登录会话加密，这就有点儿像在你锁上大门时却将钥匙放在了锁眼里一样。即使你的登录会话被传输到了一个加密的资源，在许多情况下，这仍有可能被一个恶意的黑客攻克，他会精心地伪造一个登录表单，借以访问同样的资源，并访问敏感数据。通常加密方式有MD5加密、数据库加密等。
2、专业工具辅助
在市面目 前有许多针对于网站安全漏洞的检测监测系统，但大多数是收费的，但也有一些免费的网站安全检测平台，利用他们能够迅速找到网站的安全隐患，同时一般也会给出相应的防范措施。
3、加密连接管理站点
使用不加密的连接(或仅使用轻度加密的连接)，如使用不加密的FTP或HTTP用于Web站点或Web服务器的管理，就会将自己的大门向“中间人”攻击和登录/口令的嗅探等手段敞开大门。因此请务必使用加密的协议，如SSH等来访问安全资源，要使用经证实的一些安全工具如某人截获了你的登录和口令信息，他就可以执行你可做的一切操作。
4、兼容性加密
根据目 前的发展情况，SSL已经不再是Web网站加密的最先进技术。可以考虑TLS，即传输层安全，它是安全套接字层加密的继承者。要保证你所选择的任何加密方案不会限制你的用户基础。
5、连接安全网络
避免连接安全特性不可知或不确定的网络，也不要连接一些安全性差劲的网络，如一些未知的开放的无线访问点等。无论何时，只要你必须登录到服务器或Web站点实施管理，或访问其它的安全资源时，这一点尤其重要。如果你连接到一个没有安全保障的网络时，还必须访问Web站点或Web服务器，就必须使用一个安全代理，这样你到安全资源的连接就会来自于一个有安全保障的网络代理。
6、不共享登录信息
共享登录机要信息会引起诸多安全问题。这不但适用于网站管理员或Web服务器管理员，还适用于在网站拥有登录凭证的人员，客户也不应当共享其登录凭证。登录凭证共享得越多，就越可能更公开地共享，甚至对不应当访问系统的人员也是如此；登录机要信息共享得越多，要建立一个跟踪索引借以跟踪、追查问题的源头就越困难，而且如果安全性受到损害或威胁因而需要改变登录信息时，就会有更多的人受到影响。
7. 采用基于密钥的认证而不是口令认证
口令认证要比基于密钥的认证更容易被攻破。设置口令的目的是在需要访问一个安全的资源时能够更容易地记住登录信息。不过如果使用基于密钥的认证，并仅将密钥复制到预定义的、授权的系统（或复制到一个与授权的系统相分离的独立介质中，直接需要它时才取回），你将会得到并使用一个更强健的难于破解的认证凭证。
8. 维护一个安全的工作站
如果你从一个客户端系统连接到一个安全的资源站点，而你又不能完全保证其安全性，你就不能保证某人并没有在监听你所做的一切。因此键盘记录器、受到恶意损害的网络加密客户以及黑客们的其它一些破坏安全性的伎俩都会准许某个未得到授权的个人访问敏感数据，而不管网络是否有安全措施，是否采用加密通信，也不管你是否部署了其它的网络保护。因此保障工作站的安全性是至关重要的。
9. 运用冗余性保护网站
备份和服务器的失效转移可有助于维持最长的正常运行时间。虽然失效转移可以极大地减少服务器的宕机时间，但这并不是冗余性的唯一价值。用于失效转移计划中的备份服务器可以保持服务器配置的最新，这样在发生灾难时你就不必从头开始重新构建你的服务器。备份可以确保客户端数据不会丢失，而且如果你担心受到损害系统上的数据落于不法之徒手中，就会毫不犹豫地删除这种数据。当然，你还必须保障失效转移和备份方案的安全，并定期地检查以确保在需要这些方案时不至于使你无所适从。
10. 确保对所有的系统都实施强健的安全措施，而不仅运用特定的Web安全措施
在这方面，可以采用一些通用的手段，如采用强口令，采用强健的外围防御系统，及时更新软件和为系统打补丁，关闭不使用的服务，使用数据加密等手段保证系统的安全等。
11、利用防火墙防护网站安全
例如使用操作系统自带的Internet连接防火墙（ICF），检查出入防火墙的所有数据包，决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件或者软件，例如专用防火墙设备、就是硬件形式的防火墙，包过滤路由器是嵌有防火墙固件的路由器，而代理服务器等软件就是软件形式的防火墙。
12、运用网站监控措施
随着互联网的迅速成长，个人网站、企业网站、社区网站……越来越多，同时网站竞争也越来越强，从而衍生出来的对网站的监控，网站监控是通过软件或者网站监控服务提供商对网站进行监控以及数据的获取从而达到网站的排错和数据的分析。