Web安全的十大方法

关键词：请求代码阻止服务器

Web安全的十大方法（通用12篇）

篇1：Web安全的十大方法

1.阻止对恶意软件服务器的访问

当台式机用户从未知的恶意软件服务器请求HTTP和HTTPS网页时，立即阻止此请求，节约带宽并扫描资源。

2.把移动代码限制到值得信任的网站

脚本和活跃代码等移动代码可以让网络更加丰富有趣，但也黑客渗透桌面计算机和运行可执行代码或应用来执行文件中嵌入的脚本。

3.在Web网关处扫描

不要认为您的所有桌面都是最新的，运行反病毒程序（AVP）或访问计算机管理完善。在恶意软件尝试进入您的网络而不是已经进入桌面之前就要进行集中扫描，从而轻松地控制所有进入的Web通信（HTTP、HTTPS和FTP）。

4.使用不同厂商的产品进行桌面和Web网关扫描

现在的攻击在发布之前都针对流行的AVP进行测试。通过恶意软件扫描的多样化增加阻止威胁的机会。

5.定期更新桌面和服务器补丁

多数攻击和威胁都利用应用和系统漏洞散播。降低已知漏洞给您的计算机带来的风险。

6.安装反病毒软件并保持更新

自引导区病毒出现之日起，安装反病毒软件已经成为标准的程序，用来检查进入的文件、扫描内存和当前文件。任何运行Windows的计算机都应当安装最新的反病毒软件。如果“坏东西”已经突破所有其他网络保护，这就是最后的防线。此外，反病毒软件可以很好地抵御通过非网络方法传播的恶意软件，例如光盘或USB闪存。

7.只访问通过所有浏览器检查的HTTPS网站

多数用户不了解三种SSL浏览器检查的重要性，或者不理解不要访问未通过所有三项检查的网站。SSL检查是过期证书；不值得信任的发布者；以及证书与所请求URL之间的主机名不匹配。

8.只从值得信任的网站下载可执行程序

社会工程在互联网上非常活跃！一种发布恶意软件的有效方式是把其捆绑到看似有用的程序中。执行以后，恶意软件就会为所欲为。这种攻击类型也称作特洛伊木马攻击。

9.不要访问把IP地址用作服务器的网站

最近的攻击越来越多地利用安装有简单Web服务器的家用计算机。受害者的机器通常通过IP地址而不是DNS主机名被导向新的家庭计算机服务器。合法网站的URL会使用主机名。

10.仔细地输入网址避免错误

用户永远不要试图访问恶意软件网站，但意外总是有可能发生。错误地输入网址通常会登录某些坐等您上门的网站。如果您的浏览器未安装所有补丁，您很可能在下载过程中下载到恶意软件。

篇2：Web安全的十大方法

1、升级WordPress到最新版本

一般来说，新版本的WordPress安全性都会比老版本要好一些，并且解决了已知的各种安全性问题，特别当遇到重大的版本升级时，新版本可能会解决更多的关键性问题。(例如老版本WordPress有remv.php重大漏洞，可能会导致遭受DDoS攻击，升级到最新2.7版本可解决这个问题)

2、隐藏WordPress版本

编辑你的header.php模板，将里面关于WordPress的版本信息都删除，这样就无法通过查看源代码的防治得知你的WordPress有没有升级到最新版本。

3、更改WordPress用户名

每个都知道WordPress的管理员用户是admin，具有管理员权限，会攻击这个用户，那么你需要创建一个新用户，将其设置为管理员权限，然后删除老的admin帐号，这就能避免猜测管理员的用户名。

4、更改WordPress用户密码

安装好WordPress后，系统会发送一个随机密码到你的信箱，修改这个密码，因为这个密码的长度只有6个字符，你要将密码修改为10个字符以上的复杂密码，并尽量使用字母、数字、符号相混合的密码，

5、防止WordPress目录显示

WordPress会默认安装插件到/wp-content/plugins/目录下，通常情况下直接浏览这个目录会列出所有安装的插件名，这很糟糕，因为可以利用已知插件的漏洞进行攻击，因此可以创建一个空的index.html文件放到这个目录下，当然，修改Apache的.htaccess文件也可以起到相同的作用。

6、保护wp-admin文件夹

你可以通过限定IP地址访问WordPress管理员文件夹来进行保护，所有其他IP地址访问都返回禁止访问的信息，不过你也只能从一两个地方进行博客管理。另外，你需要放一个新的.htaccess文件到wp-admin目录下，防止根目录下的.htaccess文件被替换。

7、针对搜索引擎的保护

很多WordPress系统文件不需要被搜索引擎索引，因此，修改你的robots.txt文件，增加一行Disallow: /wp-*

8、安装Login Lockdown插件

这个插件可以记录失败的登录尝试的IP地址和时间，如果来自某一个IP地址的这种失败登录超过一定条件，那么系统将禁止这一IP地址继续尝试登录。

9、WordPress数据库安全

数据表最好不要使用默认的wp_开头，安装数据库备份插件，无论做了多少保护，你还是应该定期备份你的数据库，使用WordPress Database Backup等插件可以实现数据库的定期备份。

10、安装Wordpress Security Scan插件

这个插件会自动按照以上的安全建议对你的WordPress进行扫描，查找存在的问题，使用较为简单。

篇3：Web安全的十大方法

信息安全是保护信息系统的硬件、软件及相关数据, 使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露, 保证信息系统能够连续、可靠、正常地运行。

传统的静态安全防护方法是:对网络进行风险分析, 制定相应的安全策略, 采取一种或多种安全技术作为防护措施。这种安全方案要取得成功依赖于系统正确的设置和完善的防御手段, 并且在很大程度上针对固定的威胁和环境弱点, 但是, Internet是复杂多变、需要协同和难以预测的, 同时, Internet也是一个客户需求不断变化的环境, 使用传统的、局限的、资源本地化的方法是难以应对的, 针对这种情况, 我们需要结合代理技术的智能性和柔性以及网格模式的异构资源共享服务能力, 将已有的资源进行统一组织、构建, 以提供可以共享的、面向客户需求变化的、具有服务质量保证的信息安全资源。

2采取的策略

新的安全问题的出现需要新的技术和手段来解决, 这里提出了将代理技术和面向服务的网格技术相结合的模式—ASGrid (代理服务网格) , ASGrid综合了代理技术、面向服务的信息模式以及网格技术。

2.1代理技术

代理技术的最大特点是具有一定的智能性及良好的自主性和柔性, 特别适合对复杂多变、协同和难以预测的问题进行处理, 能在特定的环境下无需人工干预和监督, 完成信息安全技术和服务的协调。

基于智能代理的入侵检测、多代理及移动代理的访问控制是网络信息安全发展的潮流。现在, 信息安全风险服务、入侵检测系统、防火墙等都采用了代理技术。

2.2面向Web服务的信息模式

面向服务的信息安全资源提供的是一种新的模式, 它可以有效地解决信息安全问题, 充分利用网络资源。这种方法采用服务作为应用程序开发的基本元素。Web服务是一种特别适合信息资源提供的技术。在本质上, Web服务是自描述的、模块化的、由统一资源标识符 (URI) 标示的应用程序, 它采用开放的基于Internet的标准, 支持基于可扩展标记语言 (XML) 的接口定义、服务发布和发现。基本的Web服务规范包括Web服务描述语言 (WSDL) 、简单对象访问协议 (SOAP) 和通用描述、发现和集成 (UDDI) 等。

2.3网格技术

网格是一种适用于科学研究与工程实施的分布式计算基础设施, 主要能在动态的、多机构的虚拟组织中实现异构资源的共享和协调使用, 即利用地理上分散的、来自不同组织的共享资源构建虚拟计算系统来提供具有服务质量保证的问题解决途径。Web服务技术、代理技术以及网格技术正在走向融合, 从而出现了新一代的面向服务的网格技术, 这种模式可以通过代理实现, 以服务的形式来表示系统中的各种资源 (计算资源、存储资源、网络、程序、数据等) 。

2.4信息安全服务网格的代理实现模式

ASGrid (代理服务网格) 的目标是构建面向信息安全服务的智能网格基础设施, 支持广域资源共享和跨组织的协同工作。ASGrid主要关注为用户和专家提供一种透明、安全的安全服务环境, 能够向用户提供丰富的信息安全资源和及时的反馈, 能够实现跨组织的信息安全资源共享和信息安全服务任务的自动调度。ASGrid可以通过代理技术实施, 以应对网络复杂、多变、难以预测和需要协同处理的特性, 通过一组支持感知的协调代理 (包括感知模块、推理模块、执行模块、计划模块、协调决策模块等) 进行协同处理, 为用户和专家提供一种高效的协作环境。

(1) 信息安全协调代理内部结构

一个典型的信息安全协调代理内部结构如图1所示。

协调代理是由不同协调模块和与之相对应的知识库构成的, 实际上构成协调代理的协调模块可以看成是设计任务协调体的子协调体。

这些代理从Internet上经沟通协商模块获取的信息由感知模块进行过滤, 由推理模块进行解析, 由协调决策模块进行决策, 并促使计划模块生成计划, 调动执行模块产生行为。它的知识库主要由三个模块组成, 即代理局部理解的信息安全服务过程, 信息安全服务数据知识, 存在资源 (工具、服务、知识库、相关代理等) 的知识。

(2) 信息安全服务网格的代理实现过程

图2是通过代理间的协调来解决信息安全服务网格的一个应用过程。

图2中各英文单词缩写所表示含义及其功能为:DS Agent (数据服务代理) 可以提供系统的数据支持;CS Agent (案例服务代理) 可以提供案例推理的功能以及案例库的维护;MS Agent (模型服务代理) 可以提供模型的查找和匹配功能;KS Agent (知识服务代理) 可以提供知识推理和知识库的服务;SC Agent (信息安全服务控制代理) 可以控制其他Agent的活动; TA Agent (威胁分析代理) 可以根据相应的数据进行动态的威胁分析、弱点因素的识别和评价;TW Agent (安全威胁预警代理) 可以通过监视威胁、弱点因素的变化, 自动地向用户提供预警信息;TC Agent (威胁、弱点控制代理) 可以提出各种威胁、弱点的控制或规避策略;SQE Agent (服务质量评价代理) 可以对整个安全服务的质量提供效果的评价, 根据质量评价模型进行分析;CO Agent (通信代理) 可以负责代理间信息或消息的传递;Web Agent (Web搜索代理) 可以搜索网上相关信息和数据, 并监视相关威胁、弱点因素变化;UI Agent (用户界面代理) 可以指导用户进行需要的操作。

(3) Agent间协作步骤

基于Agent技术的系统与传统系统的运行机制及信息处理方式有着显著的差别, 这主要是由Agent的特点所决定的, 同时也主要体现在各Agent间的协作, 使基于多Agent的系统可以处理单个Agent 所不能完成的任务。这里提到的多代理系统中各个Agent间的协作关系是复杂的, 这些Agent相互协调、相互协作来完成信息安全服务功能 (如图3所示) 。

用户界面代理根据用户要求的安全级别向系统输入安全保护需求, 通过通信代理 (第①步) 传递给服务控制代理 (第②步) 。这时, 服务控制代理建立信息安全服务目标及为实现目标所需要的任务, 并分配这些任务给安全威胁预警代理 (第③步) 、威胁、弱点分析代理 (第④步) 、威胁、弱点控制代理 (第⑤步) 、安全服务质量评价代理 (第⑥步) 。这些代理通过相互间的交互以及主要与数据服务代理、模型服务代理、案例服务代理或者知识服务代理的交互来完成各自任务。其中, 安全威胁预警代理还需要借助网络搜索代理在Internet上搜集相关信息 (第⑦步) , 服务控制代理将各任务代理反馈的信息通过通信代理 (第⑧步) 传递给用户界面代理 (第⑨步) , 这样用户就可以得到想要的信息安全服务信息了。

在上述过程中, 安全威胁预警代理与网络搜索代理之间是持续交互的, 也就是说, 网络搜索代理实时地搜索和监视网上不确定威胁信息, 这些信息如有变化就会马上被网络搜索代理所感知, 并立即通知安全威胁预警代理;另一方面, 安全威胁预警代理也通过CORBA技术时刻获取安全威胁 (如:病毒、黑客、人为操作不当等) 方面产生的数据。从而用户可以在信息安全服务的任何阶段都能得到代理间协调系统所提供的最新安全威胁信息和其他相关信息, 并且, 代理间协调系统可以根据安全服务质量评价信息和用户的需求, 更新安全威胁预警目标, 整个过程体现了全生命周期的信息安全预警的思想。

3面向Web服务的信息安全资源访问

图4显示了一个跨组织的信息安全资源访问的例子。首先, 用户从统一入口登录系统 (步骤1) 。通过身份认证后, 入口服务器将该用户重定向到其主题节点 (步骤2) 。接着, 该用户查看其信息安全服务任务, 由系统自动启动任务调度算法, 并决定跨组织获取一份作业。为了进行跨组织的资源访问, 主题节点首先需要从入口服务器获取一个安全许可 (步骤3) 。最后, 由主题节点调用访问格节点上的Web服务来获取一份作业 (步骤4) 并传送给信息安全专家 (步骤5) 。从图中可以看出, 系统向用户提供了对资源的透明访问, 并且访问过程的每个步骤都有相应的安全措施, 从而在整体上保证了系统的安全性。

主题节点需要进行表示和分类, 需要提供一种统一的符号表示方法和分类算法, 这样就可以根据统一的标准处理大量的主题节点分类问题, 主题节点的符号表示方法和分类算法要求简明、高效, 这里, 采用混合向量空间模型来描述主题节点, 采用类中心距离的方法进行主题节点的分类。

4主题节点的主题向量表示

主题节点主题采用混合向量空间模型HVSM (hybrid vector space model) 表示。节点的主题特征向量由结构元素块v1 和内容元素块v2两部分组成。v1包括反映节点结构的文本特征词集合{t1, …, ti}, v2为反映节点内容的文本特征词集合{t′1, …, t′j}。相应的主题特征词集为T=v1∪v2, 节点主题的HVSM模型可表示为向量:

V= (w1, …, wi, w′1, …, w′j) = (w1, w2, …, wn) n=i+j (1)

式中:wi、w′j分别表示v1、v2所包含特征词ti、t′j的权值, n为特征空间的总维数。采用这种模型描述节点主题特征, 尽可能地保留了节点的内容和结构特征信息, 可以通过直接计算节点向量的距离来判断节点的主题相似程度, 识别出主题节点。例如信息安全服务网站的主题特征可以由v1{网络安全概况, 产品介绍}和v2{防火墙, 杀毒软件, 加密算法及加密工具}来综合表示。

5主题节点的分类算法

主题节点的HVSM特征向量V由公式 (1) 确定后, 采用余弦相似度判断节点的主题相似程度, 即对于任意两个节点pi和pj, 计算对应向量Vi和Vj的向量余弦距离, 余弦值越大, 说明节点主题的相似程度越高。

simundefined (2)

节点主题的分类算法采用类中心距离的方法。将主题训练样本表示为向量集合{V1, …, Vm}, 将该集合的向量算术平均值Vc作为代表该主题模板集合的中心向量, 即:

undefined (3)

对于未知类型节点, 在确定其特征向量后, 根据公式 (3) 计算该向量与主题中心向量Vc间的余弦距离, 作为相似测度值, 由训练设定的分类值确定其主题类型。

6相关工作

ASGrid是信息安全资源服务的一个重要项目, 它向开发者提供网格开发工具箱, 并使用网格安全基础设施 (GSI) 来提供安全保证, ASGrid是开放网格服务架构 (OGSA) 的一个实现, 以服务的方式提供安全功能, 使用成熟的主机环境技术来处理应用程序安全问题。ASGrid主要关注信息安全领域资源共享与协同工作。由于已有的网格项目 (Globus) 所采用的架构不太适合解决ASGrid面临的问题, ASGrid提出了一种新的系统架构和安全体系。

7结束语

本文介绍了ASGrid安全体系的设计与实现。ASGrid是一种面向学习的信息安全服务网格, 在系统设计上采用了面向服务的架构。目前, 该系统完成了初步的研发工作, 信息安全协调代理部分已投入试运行, 对获取的入侵信息进行感知 (比如:进行日志审查、监视并分析用户及系统活动) , 并进行推理和决策, 根据主题分类进行信息安全资源访问, 调用相关资源作为信息安全服务网格的组成元素。在后续工作中, 将重点改进系统架构, 完善业务功能, 提高系统性能。从安全的角度看, 将进一步研究跨组织的信任机制, 增强系统的安全性。

摘要：针对网络环境的复杂多变和难以预测, 分析了传统信息安全方法的局限性, 阐明了采用代理技术和网格技术相结合的方法来处理网络信息安全问题, 给出了信息安全协调代理的内部结构以及服务网格的代理实现模式和协作步骤, 同时, 针对客户需求不断变化的环境, 提出面向Web服务的信息安全资源访问模式及主题节点的向量表示和分类算法。

篇4：Web安全的十大方法

选中“liuqq”目录，点击右键->“新建”->“虚拟目录”，给这个虚拟目录取名为“liuyes”，把这个虚拟目录指向“x:windowssystem32liuhack”（如图一），建立完成。

现在放个网页进去，打开浏览器，在地址栏输入“ip/liuqq/liuyes/index.asp”，如果IIS没有问题的话，应该可以正常浏览。

接着我们来实现网站的隐藏DD打开“我的电脑”找到网站的根目录删掉我们刚才新建的“liuqq”这个文件夹，再回到浏览器刷新看看，呵呵，怎么样网站还在吧。然后我们回到IIS的管理器刷新看看，“liuqq”这个目录已经没有了，这样我们隐藏网站的目的就达到了，

OK，相信大家照着上面的方法做都会成功的，下面我们看一下如何找出主机上是否有隐藏的网站。

在站点名称上点击鼠标右键->“属性”->选中“主目录”标签，将站点的“执行许可”由“纯脚本”改为“无”（或者“脚本和可执行文件”，不过建议不要选择这一项，如图二），然后点击“应用”按钮，怎么样？原形毕露了吧（如图三）。其中前面的“liuqq”就是被删掉的目录，而后面的 “liuyes”就是入侵者建立“虚拟目录”的别名。

当然，现在我们只是知道了存在隐藏的目录（网站），但是仅仅这样还是不行的，因为我们还不知道它到底保存在什么地方（入侵者不会傻到按照我上面的方法建立隐藏网站的），当然就没有办法删除它了。下面就让我们找到它的老巢，把它干掉。Go on……

在网站所在的根目录新建“liuqq”目录（这个视“图三”的具体情况而定），然后回到IIS的管理器中刷新就可以看到隐藏的网站目录了（如图四），还等什么，赶快把它KILL掉。

最后，别忘了把图二中的设置再改回来，否则网站就没有办法浏览了。好了，让隐藏的网站离我们远一些吧，祝各位主机管理员们GOOK LUCK！

后语：在实验的过程中发现隐藏网站的方法对WIN2003＋SP1无效，请大家注意！

篇5：Web安全的十大方法

后来我搜下发现有很多这样的网站。

今天还是一个网友发现告诉我的，他说现在虽然我发现了，也停止了，但是他的权重会越来越高,就是说我的三级域名的权重会越来越高，数量越来越多,直到权重超过你的首页。

最近好多人加我，叫我出售泛解析，我都温婉的拒绝了，我也不知道这些人哪里来的，如果域名商的内部人员这么操作，这确实是一门生意。如果是域名商的话，这事就有的说了，如果是域名密码被知道了，只能认倒霉。其实一般都很少用到域名密码，都是直接登陆那注册的IDC网站，再去管理域名。

发现这个情况会就立刻删掉那域名解析，但问题还是有的，百度那边已经收录了，被泛解析后，直接就降权了，

今天给百度站长论坛提交了反馈不知道会不会处理。泛解析的域名是站长不能控制的，都是乱七八糟的字母。

域名商查的8份开始的，这是个另外一个网友的IDC通告，这倒好，IDC直接禁止了所有蜘蛛爬行。对我们站长来说影响也很大。

我：那你现在就是立刻停止解析域名和百度申诉了，其他的都没做?

答：没有做，其他的我也不知道要做什么了，改域名的管理密码就是了。

我：去和你的域名供应商联系一下，肯定是你的密码什么的泄露了。这样的情况，进入管理后台把里面的*解析删除，然后修改管理密码，如果还是被别人泛解析，那就该DNS服务器地址。

另外，如果网站域名被泛解析后，又被百度等搜索引擎收录了，就很麻烦了，如文中所讲先是去百度申诉，不过一般没戏。360提供了网页快照删除的申诉(地址)，还不错。不过如果被百度标记为危险网站的话，可以考虑去知道创宇申诉。因为百度的是采用安全联盟的数据库。在站长工具网站被K申诉通道中，我记录了大部分的投诉通道。有兴趣的朋友可以去看看。

篇6：Web安全的十大方法

打开IIS网站属性设置对话窗口，选择“主目录”选项卡，点击“配置”按钮，打开 “应用程序配置”对话窗口。而后，点击“添加”按钮，在“可执行文件”中输入“asp.dll”，在“扩展名”中输入“。mdb”，勾选“限制为”项，并输入“禁止”，确定应用后完成设置即可。以后，当入侵者企图下载数据时，将会提示禁止访问。

3、配置安全的SQL服务器

SQL Server是各种网站系统中使用得最多的数据库系统，一旦遭受攻击，后果是非常严重的。虽然默认的SA用户具有对SQL Server数据库操作的全部权限，但是SA账号的黩认设置为空口令，所以一定要为SA账号设置一个复杂的口令。而且，要严格控制数据库用户的权限，轻易不要给用户直接的查询、更改、插入、删除权限，可以只给用户以访问视图和执行存储过程的权限。

篇7：Web安全的十大方法

假设Web服务器上已经安装了IIS6.0,要发布一个网站的过程。首先将要发布的网站文件夹保存到Web服务器的硬盘上,将网站文件夹“caiwuchu”存放在Web服务器C盘的根目录下,在“caiwuchu”文件夹下有一个名字为“default.htm”的网页文件。现在在Web服务器上打开IIS6.0,在左边一栏中展开“本地计算机”,再展开“网站”,可看到有一个默认网站。现在要建一个新的网站,右键单击“网站”,在弹出的下拉菜单中选择“新建”→“网站”,在“欢迎使用网站创建向导”中点击“下一步”,在“网站描述”中输入“caiwuchu”点击“下一步”,在“IP地址和端口设置中”在“网站IP地址”中选择下拉菜单的“192.168.9.1”,“网站TCP端口”保留默认的“80”,单击“下一步”,在网站主目录”中,通过浏览找到C盘下的wangzhan1,点击“下一步”,在“网站访问权限”中保持默认值不变,再单击“下一步”最后单击“完成”。为了验证网站发布是否正确在浏览器中输入http://192.168.9.1回车结果如图1所示。说明“caiwuchu”的发布是成功的。

现在用同样的方法来发布另一个网站“renshichu”,结果刚刚新建的“renshichu”网站是“停止”的,并不能工作。如图2所示。

可见在同一个Web服务器上可以同时发布多个网站。下面就具体谈谈使用四种不同的方法来解决在一个Web服务器上同时驻留多个Web站点的方法。

方法一:使得不同的Web站点分别对应不同的IP地址。在同一个机器上可以拥有多个不同的IP地址。这台机器有两个IP地址,分别是192.168.9.1和192.168.90.1,将“caiwuchu”的网站对应IP地址为192.168.9.1,将“renshichu”的网站对应IP地址为192.168.90.1,这样就可以解决问题。打开IIS6.0,在左边展开的“网站”中选择“renshichu”右键“renshichu”在弹出的下拉菜单中选择“属性”在“网站”选项卡下将“IP地址”选择为“192.168.90.1”点击“确定”。再次右键“renshichu”选择“启动”现在“renshichu”能够正常启动。在浏览器中输入http://192.168.90.1发现网站能正常打开,如图3所示。通过DNS将192.168.9.1和域名www.caiwuchu.com对应,结果在浏览器中输入www.caiwuchu.com同样能正常访问网站。

方法二:让不同的Web站点对应不同的端口号。再将“renshichu”的IP地址改回192.168.9.1,在“renshichu”的属性的“网站”选项卡的“TCP端口”中输入“8080”,结果如图4所示。重新启动“renshichu”网站在浏览器中输入http://192.168.9.1:8080,同样能访问“renshichu”网站。需要注意的是在端口处输入8080才能访问“renshichu”的网站,如果不输入端口号访问的是“caiwuchu”的网站。

方法三:使用修改主机头的方法。首先将“renshichu”网站的端口号再次改回“80”在DNS中将IP地址192.168.9.1和域名www.renshichu.com相对应,这样IP地址为192.168.9.1分别同时与两个域名相对应。分别是www.caiwuchu.com和www.renshichu.com,现在打开IIS6.0在左边一栏展开“网站”右键点击renshichu,选择“属性”,在“网站”选项卡的“网站标识”栏中选择“高级”在“高级网站标识”“此网站的多个标识”中选中已经存在的,再点击“编辑”在“添加/编辑网站标识”中将主机头值设置为www.renshichu.com。结果如图5所示。同样的方法将“caiwuchu”的主机头设置为www.caiwuchu.com,如图6所示。现在在浏览器上分别输入www.caiwuchu.com和www.renshichu.com能够分别访问这两个网站。这里需要注意的是,在使用修改主机头的方法时,浏览器版本必须是2.0以上,以及使用这种方法在客户浏览Web站点时,只能使用域名而不能使用IP地址。

方法四:在一个网站目录下驻留多个站点的方法。这种方法的思想是只需要创建一个网站目录,具体访问哪个网站时再深入到具体的网站文件夹。具体做法是,在C盘下创建一个文件夹名字为“wangzhan”,回到IIS6.0,把刚才创建的网站全部删除掉,右键“网站”,“新建”→“网站”,点击“欢迎使用网站创建向导”中的“下一步”,网站描述为“wangzhan”,点击“下一步”,“IP地址和端口设置”为默认值,点击“下一步”→“创建主目录”→“浏览”选中C盘下的“wangzhan”文件夹,点击“下一步”,“网站访问权限”设置为默认值,点击“下一步”,最后“完成”。现在把要发布网站文件夹拷贝到“wangzhan”文件夹下。将“caiwuchu”文件夹和“renshichu”文件夹拷贝到“wangzhan”文件夹下。在具体访问这两个网站时在浏览器上输入http://192.168.9./caiwuchu/default.htm和http://192.168.9.1/renshichu/default.htm,如果存在域名解析同样可以把IP地址改成域名来访问。访问效果如图7所示。

参考文献

篇8：Web安全的十大方法

1、域名劫持

目前提供搜索引擎服务的产品很多，常用的如百度、谷歌、搜狗、有道等，他们应用的技术差别较大，核心技术一般都作为公司的技术机密，我们是不得而知，但都存在一个数据快照，存储在搜索引擎服务器上，当用户输人关键字时，搜索引擎通过搜索功能在快照服务器上检索，并将结果按收录的时间或其他索引进行排序列出，为用户提供信息。

但在使用过程中，网站如果被植入木马程序，表现为通过搜索引擎搜索到某一网站，搜索结果中的网站名称、域名均与实际相符，打开这个网站时，前1～2秒时间，是打开网站域名时的解析，没有异常，但再过1秒钟左右，打开出现的网站却是其他网站或者非法网站，而域名解析的ip地址没有任何异常是完全正确的。

出现类似的问题，我们常称为“域名劫持”，出现这种情况原因是多种的，，随着互联网应用日益深人社会生活，网络环境也愈加复杂多变。这种现象警示着网站管理员必须高度重视网络安全，并不断提高应对新的安全威胁的能力。

2、注入代码

注入代码与植人木马文件，是通常采用的手法，注入代码时，当被注入的文件被任何浏览者访问时，这段注入的代码就开始工作，利用系统的FSO功能，形成一个木马文件，再用这个木马文件来控制服务器，并不只是控制Web所在的文件夹，当然，还有些不需要控制服务器，只是在Web文件里注入一些黑链接，打开网站时不会出现任何多余的内容，只是打开速度比正常的要慢很多倍，因为要等这些黑链接都生效之后整个网站才完全打开，如果是黑链接只需要清除了就可以了，但是文件被植人了木马或字符，便很难查找得到。

3、主要特征

经过反复查找原因，发现了域名劫持的主要特征。经过对植入字符分析，其使用了 “window.location. href’js语句，还会造成网站管理无法正登录，管理人员在管理登录窗口输入用户名、密码后，一般通过认证时便会将用户的一些信息通过session传递给其他文件使用，但“window, location.href ’语句使认证环节都无法实现，用户的表单无法正常提交给验证文件，如果系统使用了验证码，“window.location.href’语句可以使验证码过期，输入的验证码也是无效的，造成网站无法正常登录，

这些特征主要有儿点特点。

(1) 隐蔽性强

生成的木马文件名称，和Web系统的文件名极为像似，如果从文件名来识别，根本无法判断，而且这些文件，通常会放到web文件夹下很多级子文件夹里，使管理员无从查找，文件植人的字符也非常隐蔽，只有几个字符，一般无法发现。

(2) 技术性强

充分利用了 MS Windows的特点，将文件存储在某文件夹下，并对这个文件作特殊字符处理，正常办法无法删除，无法复制，有的甚至无法看到，只是检测到此文件夹里有木马文件，但无法查看到，(系统完全显示隐藏文件)，更无法删除、复制。

(3) 破坏性强

一个站点如果被植人木马或字符，整个服务器相当于被完全控制，可想其破坏性之大，但这些的目的不在于破坏系统，而是利用Web服务器

，劫持到他们所要显示的网站，因此一些网站如果被劫持，就会转到一些非法网站，造成不良后果。

4、应对方法

通过对产生的原因分析，其主要是对网站服务器Web网站文件及文件夹获取了读与写的权限，针对问题产生的主要原因、途径，利用服务器的安全设置和提高网站程序的安全性，是可以防范的，是可以杜绝域名劫持问题的。

(1)加强网站的防SQL注入功能

SQL注人是利用SQL语句的特点，向数据库写内容，从而获取到权限的方法。对于访问MS SQL Server 数据库时，不要使用权限较大的sa默认用户，需要建立只访问本系统数据库的专一用户，并配置其为系统所需的最小权限。

(2)配置Web站点文件夹及文件操作权限

Windows网络操作系统中，使用超级管理员权限，对Web站点文件及文件夹配置权限，多数设置为读权限，谨慎使用写权限，如果无法获取超级管理员权限，这样木马程序便无法生根，网站域名被劫持的可能便可以降低很多。

(3)丝词录管理器，清理Web网点中存在的可疑文件

Windows网络操作系统中有事件管理器，不管是通过何种方式获取操作权限的，事件管理器中均可以看出异常，通过异常的事件和日期，在Web站中查找该日期内文件的变化情况，对可以执行代码的文件需要特别查看其是否被注人代码或改动，对于新增的可执行代码文件进行清理。

篇9：Web安全的十大方法

关于ACCESS数据库暴库的解决方法WEB安全

，

2、在数据库里使用如下语句<% zhenzhen520 <%来防止数据库被下载。

篇10：Web安全的十大方法

简简单单小方法帮你防止U盘中毒WEB安全

。

U盘对病毒的传播要借助autorun.inf文件的帮助，

《简简单单小方法帮你防止U盘中毒WEB安全》()。病毒首先把自身复制到u盘，然后创建一个autorun.inf，在你双击u盘时，会根据autorun.inf中的设置去运行u盘中的病毒。我们只要可以阻止autorun.inf文件的创建，那么U盘上就算有病毒也只能躺着睡大觉了。

篇11：四种Web服务方法的综述

Web服务是一种自包含、自描述、模块化的程序, 通过采用WSDL、UDDI和SOAP等标准和协议[1], 具有高度的互操作性, 跨平台性和松耦合的特点。然而单一的Web服务功能毕竟有限, 难以满足实际应用中的需求。因此有必要将单个的Web服务组合起来, 其目的在于通过单一服务的彼此协同合作来满足实际需求。这就促使Web服务组合研究的兴起。

目前, 工业界和学术界针对Web服务组合已经提出了多种方法, 但从整体上分为四大类:工作流、软件工程、形式化和人工智能。本文分别介绍四大类里具有代表性的方法。

2、Web服务组合方法

2.1、基于工作流的Web服务组合

BPEL4WS是基于工作流方法中的典型代表。BPEL4WS (Business Process Execution Language for Web Services) 简称BPEL, 它是2002年IBM、微软和BEA公司提出一个基于工作流的Web服务组合描述语言[2]。它集WSFL和XLANG两者之长, 形成了一种较为自然的描述商业活动的抽象高级语言。

BPEL将Web服务描述为一个有向图, 其顶点代表Web服务, 其边代表服务之间的相互关系。这种关系的运行语义可以在BPEL文档中指定。由于BPEL的描述都是以XML格式, 故而使用BPEL语言组合Web服务效率不高, 容易出错。

2.2、基于软件工程的Web服务组合

典型的软件工程方法为Web构件组合方法 (Web Component) 。它是由荷兰Tilburg大学的Ran Yang提出的[3], 其主要思想是借鉴软件工程中的一些原则 (复用、泛化与细化、扩展等) , 来支持Web服务组合的开发。

Web构件组合方法将Web服务看成一个Web构件, 给出一个对应的类的定义, 将组合逻辑封装在类的定义里面。一旦Web构件类被定义, 那么它就可以被复用、泛化与细化和扩展。它的优点在于避免传统开发过程中的大量重复劳动, 从而提高软件的生产率。但是, 它存在固有的局限性, 在服务的动态组合方面不能够提供更好的支持。

2.3、基于形式化的Web服务组合

基于形式化的Web服务组合方法较多, 下面介绍一种较为重要的方法:基于Petri网的Web服务组合。Petri网最早是由Carl Adam Petri博士在1962年提出来的。它是一个强连通图, 其节点分别称为库所和变迁, 库所 (place) 描述系统状态;变迁 (transition) 描述系统活动。这些节点通过有向弧相连。由于Web服务的行为基本上是操作的一个偏序集, 所以可以直接将Web服务映射到一个Petri网上。

Petri是将具体的服务组合描述语言与形式化模型进行映射, 实现流程描述到形式化模型的转换, 然后再进行验证。但这种方法都依赖于具体的流程描述语言, 所以难以在现实的企业环境中被推广。

2.4、基于人工智能的Web服务组合

在2001年Bemers-Lee正式提出了语义网 (Semantic Web) [4]的概念, 后来语义Web的概念被用来定义智能的Web服务。在智能的Web服务中, Ontology具有非常重要的地位。

至今为止, Ontology有不同的定义。其中最著名的定义是由Gruber提出的:"本体是概念化的明确的规范说明"[5]。它解决语义层次上的信息共享和交换, 将其应用到Web服务领域, 同时实现了动态链接具体的Web服务, 以此来满足不断变化的业务需求。但它缺乏对Web服务组合的分析与验证, 无法保证服务组合的正确性。

3、小结

目前, Web服务组合的方法非常多, 但是要真正实现Web服务的自动、高效的组合, 真正将Web服务组合技术应用到实际中, 还有很多问题需要解决。

参考文献

[1].李景霞, 侯紫峰.Web服务组合综述[J].计算机应用研究, 2005, Vol.25 (12) :52～54.

[2].S.Dustdar, W.Sehreiner.A survey on web services composition[J].International Journal of Web and Grid Services, 2005, Vol.1 (1) :1～30.

[3].L.Zhang, B.Li, T.Chao, et al.On demand Web services-based business process composition.In:Proceedings of the IEEE International Conference onSystem, Man, and Cybernetics, Washington, USA, 2003, 4057～4064

[4].T.Bemers-Lee, J.Hendler, O.Lassila.The semantic web[J].Scientific American.2001