网站一般存着哪些安全风险?如何应对

站长学院 思享 2524浏览

5月25日,VIP大讲堂-网站安全那些事儿成功举办,百度云加速为大家带来网站安全风险及应对方案,学院君将现场演讲提炼成图文概括版,快来看吧!

百度云加速主要给大家带来:

网站安全风险介绍

网络流量劫持

访问请求通过dns劫持或者HTTP 302的方式被重定向,返回响应中被插入恶意内容。

典型的像插入tn后缀跳转和插入色情广告;既影响了用户访问体验,增加了网站违规风险,又减少网站流量收益。

搜索返回劫持

通过搜索结果第三方网络内容进行劫持或网站主动作恶,使得用户操作返回按钮时,返回到假百度页,从而操纵返回后的搜索结果页。

劫持者可以替换任意的搜索结果,可以将竞争对手的词替换成自己的网站链接,干扰正常网站的流量收益。

JS跳转到代码

  1. 支持任何手机搜索引擎如百度,360.搜狗,神马。
  2. 兼容全部手机浏览器
  3. 任何关键词搜索都可以实现劫持跳转
  4. 防查防封防举报:PC端打开网站无跳转,PC端通过搜索进来的业务跳转,手机端直接输入网址打开手机网站返回无跳转,只能是手机端通过百度,360,神马,搜狗搜索引擎搜索关键词的进入到手机网站才有返回跳转
  5. 网站内部之间无跳转,代码可以加全网站,不用担心站内无法返回前一个页面,只有用户手机按返回离开网站的时候才有跳转

使用方法:

在网站上安装好代码之后,从百度过来的流量,如果从按返回键或者后退本来应该退回百度搜索,但是用了我们的代码之后回退就会回到我们自己定制的假百度搜索页面,展示效果和百度推广一模一样

假百度搜索有点

  1. 真实度和百度手机搜索100%相近,用户分不出来真假
  2. 搜索结果任意替换,想替换竞争对手的,点击他们的进入到自己网站
  3. 竞争对手词任意替换。可以把他们的词替换成自己的
  4. 自己添加广告位,点击广告免费
  5. 默认搜索第一页三个广告位,两个创意广告,一个免费电话广告,第二页是一个广告位,点击广告位都是免费的,根据客户需求可以任意修改
  6. 好大夫、120ask、竞争对手的域名等等可以替换成自己的,打开是自己的网站
  7. 相关搜索默认打开是自己的网站,广告价值利于最大化
  8. 假百度搜索屏蔽竞争对手的医院名称,搜索他们的显示是自家的
  9. 假百度首页按按手机返回键一直返回的是假百度首页,用户返回不了真百度页面

网站被黑挂马

黑客利用漏洞和渗透技术,黑掉网站服务器,然后在网站挂木马或者插入恶意内容

被黑后,所有风险由站长承担,收益与站长无关
[blockquote]

网站安全的第一个风险是网络流量的劫持,举个case,一家做鲜花的电商,本来在百度的订单转化非常好。结果最近发现,用户在打开网站的时候,里面插入了尺度比较大的色情广告,导致网站转化率非常低。用户做测试发现是被劫持了,被劫持之后我们给站点方案和指导,后面劫持的现象就消失了。网络流量劫持非常普遍,站点流量损失有20%左右,对站长带来的伤害非常大。

第二个风险:搜索的返回劫持,就是常见的假百度,用户通过访问百度点击第三方站点,在浏览器上做回退的时候,跳到一个假百度,这样的情况对用户伤害极大,是百度坚决不允许的。

第三个风险:网站被黑,挂木马;会导致在网站上放置恶意广告,而网站不知情,这种风险甚至会让站点承担法律责任。

[/blockquote]

网站安全应对方案

网络流量劫持

使用HTTPS可以解决针对网络通道的劫持和恶意内容插入

搜索返回劫持

网站和搜索厂商都支持HTTPS,加强生态和协作建设,打击主动作恶者

网站被黑挂马

使用第三方主机防护产品或运防护(WAF web应用防火墙),快速修补漏洞,加强服务器安全管理

网站安全方案实践

方案1

  • 网站选择主机防护产品并部署
  • 网站自主进行HTTPS改造

方案2

  • 使用云WAF防止网站被黑
  • 使用云平台进行网站HTTPS改造

自主选择主机防护

网站自己选择对应的主机防护产品和WAF产品进行部署,也可以根据业务特点,自己开发相应的防护软件

可选的主机防护产品类别有服务器安全加固、入侵防护系统、病毒木马查杀、内容防篡改等的,对应的产品厂商有安全狗、云锁、防卫神、主机卫士等。

自主进行主机防护,需要对市面上的主机防护相关技术及产品类别、特点有比较清楚的了解,并且还需要对各家产品进行系统规化的搭配组合才能有较好的效果。实施起来费时耗力,复杂度也高,升级维护麻烦,对服务器资源也有消耗

使用云WAF

使用云WAF产品部署简单方便,升级维护不需要关系,且防御效果好,对服务器资源无消耗。

市面上可选的云WAF产品有百度云加速,阿里云,网站卫士等。
[blockquote]

关于以上风险,网络流量劫持、搜索返回劫持,都可以通过https解决,而且目前搜索已经对HTTPS给到很好的支持;网站被挂马被黑,现在比较成熟的方式是用主机防护产品或者是第三方的web防护产品做你的服务器的网站安全管理。

对于站长来讲,主要有两种选择方案,第一是自己做,自己做HTTPS的改造,自己做主机防护产品自己运维自己管理,以及一些针对性开发。自主选择主机防护,缺点是产品多,要根据自己的技术和业务需求做一个选择。而且很多产品不是一家的,要把它有机的结合在一起形成一个系统的防御,要花很长时间才能达到有效的效果,并且这些对服务器的资源消耗比较大,后面自己做升级维护之类的操作。

第二是比较省事的,使用云WAF防止网站被黑,以及使用云平台进行网站HTTPS改造。

使用云waf解决问题,好处是产品的部署非常方便,所有的流量经过这个平台,每次访问云平台会根据waf引擎对响应的内容做出甄别,对有问题的像那种渗透的还是主动的网上给你恶意可以给你防止掉,还有一个好处他对服务器没什么消耗,因为是在云平台上做的建设,对于以后的升级不用操心。

[/blockquote]

HTTPS改造流程

HTTPS服务保障

云化的HTTPS服务
[blockquote]

云化https服务,优点是站长省时省力,像证书的申请更新吊销等,以及组件和协议漏洞都是由专业的安全团队来维护的,性能也是有云平台优化的,节省站长处理的时间和精力。

云化HTTPS服务的解决方案,只要四个流程即可:

  1. 一键开启;
  2. 子域名管理中点击HTTPS加速,开通HTTPS功能;
  3. DNS服务商处修改域名指向到指定域名,进行签发证书验证;
  4. 证书签发成功后,就可以为网站提供HTTPS服务。

网站安全方案实践

总结以上2中方案,自己做的话,可以贴合网站的业务定制,会比较灵活,问题是对技术能力要求高,成本和复杂度也很高,如果网站业务比较特殊的可以选择自己做;

而云平台方案部署和运维都很简单,技术要求也低,云平台在不断提高他防御能力的同时,相应站点防御标准也会跟着提高,另外技术服务支持效率也高。但云平台基本上都是标准的服务产品,很少做特别定制,这是云平台的缺点。

[/blockquote]

推荐阅读

如何从日志中分析HTTP劫持?

日志中通常是分析不出来的,之前TV猫分享过,TV猫能分析出来是因为发现http劫持了,后面加了一个参数,这个参数不是网站自己加的,是(黑客)加了一个,参数后面跟了一个。 相关SEO术语解释: HTTP: HTTP即超文本传输协议,是网络上允许我们显示......

黑帽SEO:劫持手法怎么做的

劫持,一种古(guo)老(shi)的黑帽手法,差不多10年的时候就有一票前辈知道这个方法了。 劫持分很多种,流量劫持、快照劫持、PR劫持等,其实前几个步骤都一样,就是最后的脚本写的不一样而已。 因为是劫持别人的站,所以首先要获取劫持站的后台权限,并留......

百度推出烽火算法2.0、修复错误风险警示故障

烽火算法2.0 一直以来,百度搜索对于危害用户隐私、恶意劫持站点的行为态度坚定,一经发现一律严惩。2017年2月,百度搜索发出针对恶意劫持行为的公告:《打击劫持 百度移动搜索推出烽火计划》,主要是严惩恶意劫持的行为。近期,百度搜索即将上线烽火算法2.......