網(wǎng)站作為一種基于Web的應(yīng)用程序，通常會比其他C/S結(jié)構(gòu)的軟件更容易面臨安全性問題。特別是對于應(yīng)用在金融、電信等領(lǐng)域的網(wǎng)站系統(tǒng)而言，其安全性便成為了系統(tǒng)至關(guān)重要的方面，稍微安全性問題，就會造成重大的經(jīng)濟災(zāi)難。從網(wǎng)絡(luò)安全理論上來講，只要給予足夠的時間和資源，任何系統(tǒng)都可以被侵入。因此，我們不能忽略網(wǎng)站的安全性問題。很多站長朋友們都有自己的網(wǎng)站服務(wù)器，那么網(wǎng)站服務(wù)器有哪些安全性需要我們關(guān)注的呢?通常情況下，網(wǎng)站服務(wù)器的安全性設(shè)置主要包括目錄安全性、SSL套接字、用戶登錄驗證、日志文件和腳本語言安全性設(shè)置等，具體如下：

　　首先，網(wǎng)站服務(wù)器的目錄安全性設(shè)置。Web的目錄安全性是不容忽視的。對于Web服務(wù)器而言，首先需要設(shè)置安全的目錄，每個目錄下應(yīng)該有index.html或default.html頁面，從而可以保護該目錄下的內(nèi)容安全。如果Web程序或Web服務(wù)器的處理不適當(dāng)，通過URL替換和目錄名推測，就會將整個目錄暴露給外部用戶。這個時候，我們就應(yīng)該嚴(yán)格設(shè)置Web服務(wù)器的目錄訪問權(quán)限，以降低目錄安全隱患。

　　其次，SSL安全性設(shè)置。通常默認(rèn)情況下，HTTP協(xié)議是沒有經(jīng)過任何加密措施的，所有的消息全部都是以明文的形式在網(wǎng)絡(luò)上進行傳輸。這時，外部惡意的攻擊者就可以通過安裝監(jiān)聽程序來獲得用戶和服務(wù)器之間的通信內(nèi)容。但如果Web服務(wù)器建立了SSL安全機制后，只有SSL允許的客戶才能與SSL允許的Web站點進行通信，并且在使用URL資源定位器時，只能輸入https://,而不能使用http://進行訪問。使用SSL安全機制時，客戶端隨機生成會話密匙，用從服務(wù)器得到的公共密匙對話密匙進行加密，并把會話密匙在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會話密匙只有在服務(wù)器端用私人密鑰才能進行解密，這樣，客戶端和服務(wù)器端就可以建立一個唯一的安全通道。使用SSL安全設(shè)置保障了客戶端和服務(wù)器之間的數(shù)據(jù)傳輸安全。

　　接著，網(wǎng)站登錄安全性驗證。目前網(wǎng)站基本上是采用先注冊、后登錄的方式。因此，需要驗證系統(tǒng)阻止非法的用戶名和密碼進行登錄，實現(xiàn)有效安全登錄。比如，用戶登錄的登錄次數(shù)是否有限制;是否限制從某些IP地址的用戶登錄;密碼設(shè)置是否有規(guī)則限制;是否可以不登錄而直接瀏覽某些網(wǎng)頁。

　　此外，網(wǎng)站服務(wù)器需要對網(wǎng)站操作日志文件進行有效存儲。日志文件至關(guān)重要，我們需要關(guān)注相關(guān)的重要信息是否寫進了日志文件、出現(xiàn)故障后是否可以追蹤故障來源。網(wǎng)站正式上線后，需要對Web服務(wù)器運行和訪問的日志及流量進行日常監(jiān)控，這就需要網(wǎng)站服務(wù)器有相應(yīng)的功能進行日志管理。比如，日志文件中是否記錄了用戶訪問的IP地址，是否記錄了訪問用戶的用戶名;日志文件中是否記錄了所有的事務(wù)處理信息，是否記錄失敗的注冊企圖，特別是涉及到資金安全的，比如是否記錄被盜信用卡的使用等等。

　　最后，網(wǎng)站服務(wù)器腳本運行安全性設(shè)置。每種腳本語言的運行效果都不同，有些腳本語言允許訪問服務(wù)器的根目錄，有些則不能運行在服務(wù)器根目錄，有的只允許訪問郵件服務(wù)器，但不管是什么腳本，對于有些經(jīng)驗豐富的黑客就可以通過各種手段將服務(wù)器用戶名和口令發(fā)送給他們自己，這個時候，他們就找出站點使用了哪些腳本語言，并研究這些語言的缺陷和漏洞，對服務(wù)器進行攻擊和篡改。之前，本人曾多次發(fā)現(xiàn)有很多朋友的網(wǎng)站被掛上了一段VB或JS腳本，當(dāng)用戶登錄網(wǎng)站的會員后臺，這些腳本就會自動運行，把用戶名和密碼盜取，從而導(dǎo)致大量用戶賬號被盜。所以，我們必須服務(wù)器端腳本運行的權(quán)限，防止惡意的腳本攻擊。