Kangle免费版的安全功能给力网站安全（内含详细教程) SQL注入waf防护，禁止PHP文件上传

小樱

Kangle是一款高性能的web服务器，同时也是“做虚拟主机”的专业web服务器。高稳定性和高性能是web服务器必须的。除此，kangle的技术团队对安全同样非常重视。

目前，kangle有“七防”
1.智能防CC攻击（0误封）
2.防上传木马(上传文件过滤)
3.防XSS脚本跨站攻击
4.防SQL注入攻击（输入参数过滤）
5.防hash冲突攻击
6.防采集
7.防垃圾信息（如发送广告到论坛）
kangle技术团队始终站在用户的角度，不断创新研发，未来还会有实用、易操作的功能推出！

网站存在安全问题的主要原因

　1.大多数网站只考虑正常用户稳定使用

　黑客对漏洞有敏锐的嗅觉，在充分利用漏洞的动力下，网站存在的漏洞就被挖掘出来，且成为黑客们直接或间接获取利益的机会。对于Web应用程序的SQL注入漏洞，有试验表明，通过搜寻1000个网站取样测试，检测到有15%的网站存在SQL注入漏洞。

2.网站防御措施不够灵活，甚至没有真正的防御

  大多数防御措施还是使用的很传统的做法。基于特征识别的入侵防御技术或内容过滤技术，这对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、xss跨站脚本攻击这种没有唯一特征的网站攻击，基于特征匹配防御攻击，不能精确阻断攻击。导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击，防火墙更是束手无策。 　　

    网站防御不佳还有另一个原因，有很多网站管理员对网站的价值认识仅仅是一台服务器或者是网站的建设成本，不会再此基础上为网站安全投入必须的安全成本。而要等到网站遭受攻击之后。这时带来的损失往往不能用一个服务器或者是网站建设成本来衡量，很多信息资产和信誉在遭受攻击之后将产生无形价值的严重损失。不幸的是，很多网站负责人，只有在网站遭受攻击后，造成的损失远超过网站本身造价之后才意识防御安全的重要性。　

3.上传木马

  网站被挂马是非常普遍的事情，同时也是最头疼的一件事。

  网页挂马就是一种利用网站，将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。访问网站而被种植木马的人通常也不知情，导致一些用户的机密信息被窃取。网站成了黑客散布木马喜欢用的一个渠道。由于挂马原理是木马本身并非在网站本地，而是通过网页中加载一个能够让浏览者自动建立另外的下载连接完成木马下载，而这一切动作是可以很隐蔽的完成，各个用户不可见，因此这种情况下网站本地的病毒软件也无法发现这个挂马实体。 　

　

4.发现安全问题不能彻底解决

  网站技术发展较快、安全问题日益突出，但由于关注重点不同，绝大多数的网站注重网页界面设计，网站安全代码设计方面注意甚少，发现网站安全存在问题和漏洞，其修补方式只能停留在页面修复，很难针对网站具体的漏洞原理对源代码进行防御。这些也是为什么 有些网站安装网页放篡改、网站恢复软件后仍然遭受攻击。 在网站安全检查过程中，有人曾经戏剧化的发现，网站的网页放篡改系统将早期植入的恶意代码也保护了起来。这说明很少有人能够准确的了解网站安全漏洞解决的问题是否彻底。

下面详细介绍如何利用kangle免费版的安全功能防SQL注入攻击和防上传木马(上传文件过滤)的具体操作。

防SQL注入攻击，需要使用请求控制的内标记模块“param”。如下图：

param value 处输入：

1. '.*[; ]?((or)|(insert)|(select)|(union)|(update)|(delete)|(replace)|(create)|(drop)|(alter)|(grant)|(load)|(show)|(exec))[\s(]

复制代码

2015年10月21日，最新额外的一条SQL防注入新规则测试，上面那条下面在插入这一条即可，discuz测试通过，解决vhms充值不到账问题

1. .*(exec|insert|truncate|char|declare|union|replace|alter|grant|etc/|win.ini)+.*

复制代码

param value:支持使用正则表达式表示。

目标：选择“拒绝”

防上传木马(上传文件过滤)需要使用请求控制内的标记模块“post_file”。

Post_file支持使用正则表达式。可对asp、php等上传文件进行过滤

如下图：

filename(regex)处输入：

1. \.php$

复制代码

如果防多个文件扩展名，如asp,php，这样子写 :

1. \.((php)|(asp))$

复制代码

目标：选择“拒绝”

对上传的php文件进行过滤，即拒绝上传php文件。

这样就算网站或论坛的程序有bug，也不会中木马。

hhmx

3.4.5的版本请求匹配里面没有param这个了，请求标记里面倒是有

小樱

hhmx 发表于 2017/6/21 12:06
3.4.5的版本请求匹配里面没有param这个了，请求标记里面倒是有

一直是标记模块啊

hhmx

小樱 发表于 2017/6/21 18:56
一直是标记模块啊

然而图里并不是