2021-02-16 分類: 網站建設
“互聯網+”的浪潮席卷而來,而互聯網安全形勢卻不容樂觀。近年來,由黑客入侵、非法訪問、信息丟失、信息竊取、隱私泄露、勒索病毒造成的網絡安全問題屢見不鮮,而近期又有很多網站遭遇了流量劫持問題,對網站以及用戶都造成了很大的損失和困擾。為了幫助網站站長更好地應對網站的安全問題,我們研究如何去預防網站劫持。
網站防劫持的其中一個辦法,就是為你的網站部署ssl證書,升級成為HTTPS網站。HTTPS網站能夠為你的網站頁面內容進行加密傳輸,并能有效的防止網站劫持。
防止DNS劫持
DNS劫持攻擊亦稱為DNS重定向是一種網絡攻擊,攻擊者劫持用戶的DNS請求,錯誤地解析網站的IP地址,用戶試圖加載,從而將其重定向到網絡釣魚站點。
攻擊涉及破壞用戶的系統DNS(TCP / IP)設置,以將其重定向到“Rogue DNS”服務器,從而使默認DNS設置無效。要執行攻擊,攻擊者要么在用戶的系統上安裝惡意軟件,要么通過利用已知漏洞或破解DNS通信來接管路由器。因此,用戶將成為域欺騙或網絡釣魚的受害者。
HTTPS剛好就能解決這個問題。因為訪問HTTPS網站是,客戶端瀏覽器會先得到該網站的ssl證書,ssl證書是必須要與網站域名相匹配的。假如你訪問www.domain.com網站地址,那么就會得到一張www.domain.com的證書,瀏覽器會校驗這個域名和證書是否一致,不一致將會提示錯誤。那么DNS劫持就行不通了,因為非法網站中并不能擁有www.domain.com域名的證書,縱然DNS劫持能夠返回一個頁面內容,但是卻沒有ssl證書,那么就無所遁形了。HTTPS是預防DNS劫持的很好的辦法,DNS劫持一般也只是針對HTTP網站才會有效。
植入JS文件
網站數據被植入了一些新增加的內容,這些內容形式和網站其他數據看似正常,但是看時間日期,會發現內容往往比較集中,而并不是編輯人員添加的內容。這種網站往往是一些能夠辦理證件的網站,諸如職業資格證、畢業證等。黑客為一些非法客戶在正規官網植入虛假職業信息,而從中獲取高額利益。被攻擊的網站往往是一些大學官網、教育部門網站或一些資質認定的網站。比如通過植入JS文件,來獲取用戶的賬號密碼等個人信息。
HTTPS同樣能解決這個問題。采用了HTTPS的網站,其頁面內容引用必須都為HTTPS,假如存在HTTP的外部引用,那么瀏覽器將會發現,同時會提示用戶該網頁不安全。由于非法植入的JS文件一般都是HTTP,原因是這些非法網站很難去申請成為HTTPS網站。那么當瀏覽器發現頁面中使用了外部非HTTPS的資源時,將會馬上提示用戶頁面不安全,并且會屏蔽禁止掉不安全的內容。這樣HTTPS就會起到一個很好的保護作用。
ssl證書類型
ssl證書也有多個版本,可以概括為DV版、OV版、EV版,DV版是域名型,主要是驗證域名所有權,將證書頒發給該域名,因此只有擁有域名所有權,就可以有域名證書。OV是組織驗證型證書,認證必須有企業或組織資質,驗證組織身份之后,頒發證書,證書是頒發給該組織,并綁定該域名,僅供該組織的該域名使用該證書。申請OV證書之后,在證書中不但可以看到使用的域名,而且可以查到該組織的組織名稱。
而EV是一種高級證書,使該證書,不但我們可以對連接加密,而且會在瀏覽器地址欄顯示綠色的公司名稱。其他驗證方式和OV一樣,也是頒發給組織,供該組織的特定域名所有。
文章名稱:如何預防網站劫持
當前URL:http://m.newbst.com/news16/101216.html
成都網站建設公司_創新互聯,為您提供品牌網站建設、品牌網站制作、做網站、網站設計、電子商務、Google
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容