網(wǎng)站作為一種基于Web的應(yīng)用程序，通常會(huì)比其他C/S結(jié)構(gòu)的軟件更容易面臨安全性問(wèn)題。特別是對(duì)于應(yīng)用在金融、電信等領(lǐng)域的網(wǎng)站系統(tǒng)而言，其安全性便成為了系統(tǒng)至關(guān)重要的方面，稍微安全性問(wèn)題，就會(huì)造成重大的經(jīng)濟(jì)災(zāi)難。從網(wǎng)絡(luò)安全理論上來(lái)講，只要給予足夠的時(shí)間和資源，任何系統(tǒng)都可以被侵入。因此，我們不能忽略網(wǎng)站的安全性問(wèn)題。很多站長(zhǎng)朋友們都有自己的網(wǎng)站服務(wù)器，那么網(wǎng)站服務(wù)器有哪些安全性需要我們關(guān)注的呢?通常情況下，網(wǎng)站服務(wù)器的安全性設(shè)置主要包括目錄安全性、SSL套接字、用戶(hù)登錄驗(yàn)證、日志文件和腳本語(yǔ)言安全性設(shè)置等，具體如下：

　　首先，網(wǎng)站服務(wù)器的目錄安全性設(shè)置。Web的目錄安全性是不容忽視的。對(duì)于Web服務(wù)器而言，首先需要設(shè)置安全的目錄，每個(gè)目錄下應(yīng)該有index.html或default.html頁(yè)面，從而可以保護(hù)該目錄下的內(nèi)容安全。如果Web程序或Web服務(wù)器的處理不適當(dāng)，通過(guò)URL替換和目錄名推測(cè)，就會(huì)將整個(gè)目錄暴露給外部用戶(hù)。這個(gè)時(shí)候，我們就應(yīng)該嚴(yán)格設(shè)置Web服務(wù)器的目錄訪問(wèn)權(quán)限，以降低目錄安全隱患。

　　其次，SSL安全性設(shè)置。通常默認(rèn)情況下，HTTP協(xié)議是沒(méi)有經(jīng)過(guò)任何加密措施的，所有的消息全部都是以明文的形式在網(wǎng)絡(luò)上進(jìn)行傳輸。這時(shí)，外部惡意的攻擊者就可以通過(guò)安裝監(jiān)聽(tīng)程序來(lái)獲得用戶(hù)和服務(wù)器之間的通信內(nèi)容。但如果Web服務(wù)器建立了SSL安全機(jī)制后，只有SSL允許的客戶(hù)才能與SSL允許的Web站點(diǎn)進(jìn)行通信，并且在使用URL資源定位器時(shí)，只能輸入https://,而不能使用http://進(jìn)行訪問(wèn)。使用SSL安全機(jī)制時(shí)，客戶(hù)端隨機(jī)生成會(huì)話密匙，用從服務(wù)器得到的公共密匙對(duì)話密匙進(jìn)行加密，并把會(huì)話密匙在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會(huì)話密匙只有在服務(wù)器端用私人密鑰才能進(jìn)行解密，這樣，客戶(hù)端和服務(wù)器端就可以建立一個(gè)唯一的安全通道。使用SSL安全設(shè)置保障了客戶(hù)端和服務(wù)器之間的數(shù)據(jù)傳輸安全。

　　接著，網(wǎng)站登錄安全性驗(yàn)證。目前網(wǎng)站基本上是采用先注冊(cè)、后登錄的方式。因此，需要驗(yàn)證系統(tǒng)阻止非法的用戶(hù)名和密碼進(jìn)行登錄，實(shí)現(xiàn)有效安全登錄。比如，用戶(hù)登錄的登錄次數(shù)是否有限制;是否限制從某些IP地址的用戶(hù)登錄;密碼設(shè)置是否有規(guī)則限制;是否可以不登錄而直接瀏覽某些網(wǎng)頁(yè)。

　　此外，網(wǎng)站服務(wù)器需要對(duì)網(wǎng)站操作日志文件進(jìn)行有效存儲(chǔ)。日志文件至關(guān)重要，我們需要關(guān)注相關(guān)的重要信息是否寫(xiě)進(jìn)了日志文件、出現(xiàn)故障后是否可以追蹤故障來(lái)源。網(wǎng)站正式上線后，需要對(duì)Web服務(wù)器運(yùn)行和訪問(wèn)的日志及流量進(jìn)行日常監(jiān)控，這就需要網(wǎng)站服務(wù)器有相應(yīng)的功能進(jìn)行日志管理。比如，日志文件中是否記錄了用戶(hù)訪問(wèn)的IP地址，是否記錄了訪問(wèn)用戶(hù)的用戶(hù)名;日志文件中是否記錄了所有的事務(wù)處理信息，是否記錄失敗的注冊(cè)企圖，特別是涉及到資金安全的，比如是否記錄被盜信用卡的使用等等。

　　最后，網(wǎng)站服務(wù)器腳本運(yùn)行安全性設(shè)置。每種腳本語(yǔ)言的運(yùn)行效果都不同，有些腳本語(yǔ)言允許訪問(wèn)服務(wù)器的根目錄，有些則不能運(yùn)行在服務(wù)器根目錄，有的只允許訪問(wèn)郵件服務(wù)器，但不管是什么腳本，對(duì)于有些經(jīng)驗(yàn)豐富的黑客就可以通過(guò)各種手段將服務(wù)器用戶(hù)名和口令發(fā)送給他們自己，這個(gè)時(shí)候，他們就找出站點(diǎn)使用了哪些腳本語(yǔ)言，并研究這些語(yǔ)言的缺陷和漏洞，對(duì)服務(wù)器進(jìn)行攻擊和篡改。之前，本人曾多次發(fā)現(xiàn)有很多朋友的網(wǎng)站被掛上了一段VB或JS腳本，當(dāng)用戶(hù)登錄網(wǎng)站的會(huì)員后臺(tái)，這些腳本就會(huì)自動(dòng)運(yùn)行，把用戶(hù)名和密碼盜取，從而導(dǎo)致大量用戶(hù)賬號(hào)被盜。所以，我們必須服務(wù)器端腳本運(yùn)行的權(quán)限，防止惡意的腳本攻擊。