安全中心
安全中心集中展示和配置所有与安全相关的功能模块,包括“安全审计、攻击防御、系统体检、内容检查管理、IP 访问限定配置、安全配置”等。
安全中心首页显示当前系统体检的分数和状态,以及“昨天/今天/3天/7天/30天/自定义范围”的 CC 攻击、SQL 注入攻击、XSS 攻击、爬虫和漏洞扫描等统计数据及攻击趋势折线图。
-
IP访问限定配置
-
系统体验
-
安全审计
-
攻击防御
-
内容检查管理
-
安全配置
CC 攻击防护
-
CC 攻击防护模块具有出色的防护能力,能够识别和防御 WAF 及云防护设备可能漏过的 CC 攻击,确保网站在遭受 CC 攻击或扫描时依然能够正常运行,同时保证其他用户的访问速度不受显著影响,从而不影响正常的访问体验。
-
该模块提供完整的攻击日志记录功能,并支持查看和管理日志。在查看日志时,可以直接在列表中显示攻击者的 IP 及其归属地。
-
模块支持查看 CC 攻击 IP 统计和攻击趋势统计等功能。
-
用户可以临时关闭防护功能,并在关闭状态下随时启用防护。
-
系统支持设置 IP 白名单,并允许为 IP 名单添加注释,方便以后通过注释了解白名单 IP 的归属单位。
-
内网 IP 的访问请求被视为可信任请求,无需手动添加至白名单。系统能够正确识别通过代理服务器访问的真实 IP。
-
对于可信任的第三方监测平台,系统支持设置特殊规则(非 IP 白名单),以与 CC 攻击区别开来,并限制第三方监测平台的并发请求数,但对站点首页的可用性监测不进行并发数限制。
-
系统支持对一分钟内同一 IP 段的请求数进行限制,如果在1分钟内同一 IP 段的不同IP请求次数超过设定值,则该 IP 段的后续请求将被拦截。
-
能够识别并应对常见的伪造 IP 方法(例如通过修改 Request 头信息中的 X-Forwarded-For 值来伪造 IP),以获取真实的 IP 地址。
-
SQL 注入攻击防护
系统采用 MVC 视图分离架构,所有查询语句参数化,模板上禁用自定义 SQL 语句查询,数据库操作只能通过系统安全 API 进行(参数化),从而杜绝 SQL 注入漏洞。
支持主动拦截 SQL 注入攻击,拦截含有 SQL 注入代码的请求,并将攻击记录异步写入数据库。日记记录功能可承受高并发攻击(比如每秒 1000 次)。支持查看、清理 SQL 注入攻击日志,显示攻击者IP及归属地,并提供 SQL 注入攻击IP统计和趋势统计功能。
点击查看更多 -
XSS 攻击防护
所有 HTML 输出和录入数据均经过 XSS 过滤,符合 OWASP 防护标准,确保数据存储和展示的安全。
支持主动拦截 XSS 攻击,拦截含有 XSS 攻击代码的请求,并将攻击记录异步写入数据库。日志记录功能可承受高并发攻击(比如每秒 1000 次)。支持查看、清理 XSS 攻击日志,显示攻击者 IP 及归属地,并提供 XSS 攻击 IP 统计和趋势统计功能。
点击查看更多 -
CSRF攻击防护
所有提交均要求同源,禁止外站提交;所有表单使用 AntiForgeryToken 技术验证,阻止跨站请求伪造。
点击查看更多 -
主动拦截爬虫和漏洞扫描
支持主动拦截爬虫和漏洞扫描,查看日志时显示攻击者 IP 及归属地,并提供 IP 统计和趋势统计功能。
支持配置网络爬虫的 UserAgent 黑名单,以拦截大部分未修改 UserAgent 的爬虫请求。
支持智能识别爬虫行为,拦截修改了 UserAgent 的爬虫扫描。
支持检测客户端是否支持 Cookie,若不支持则直接拦截并提示,以拦截大部分不支持 Cookie 的爬虫请求。
点击查看更多 -
防重复提交
防止表单重复提交,前端通过隐藏按钮或设置按钮为不可用,后端通过验证拦截重复提交,防止因误操作、网络问题或黑客攻击导致的重复提交。
点击查看更多 -
静态资源防盗链
防止静态资源文件被盗链,以防止任意用户可通过在浏览器输入文件路径等方式访问上传文件。支持设置域名白名单,允许白名单中的网站引用本站静态资源。平台域名、子域名及各站点绑定的独立域名自动加入白名单。白名单支持通配符*,例如:*.test.com。
点击查看更多
上传防护系统
-
支持目录防护功能,严格限制上传文件的扩展名,黑名单设置在程序代码中,无法被超级管理员修改,从而防止木马文件的上传。
-
MVC 架构,无扩展名的路由设计,杜绝了带扩展名的木马文件的执行。
-
默认配置下,上传文件目录的脚本执行权限被禁用,即使木马文件被上传至目录中也无法执行。
-
支持模板引擎限定,前台模板文件只能调用系统内置服务,禁止进行 IO 等操作,以防止通过修改模板获得提升权限并获取 WebShell。
-
支持地址防护,能够防御网络中常见的目录跨越操作如 ../、/ 等,防止跨目录上传。
-
支持文件名防护,禁止上传常见的动态脚本文件如 .asp、.php、.jsp 等。
-
支持验证上传文件的扩展名与实际文件类型是否匹配,如果文件类型被伪造(改了扩展名导致与真实文件类型不对应,比如将 .php 改成 .jpg),系统将拒绝上传。
-
支持上传频率限制,能够限制同一用户、同一 IP 在 10 秒内及 24 小时内的文件上传数量上限,防止用户恶意上传文件占用服务器空间。
-
安全策略
支持用户注册、登录、账号占用验证、找回密码、账户合并、验证码发送等安全策略配置。在攻击者触发安全策略时,进行账户锁定、终端冻结、IP 冻结,并记录安全防护日志。
管理员登录时的安全策略配置也支持锁定账户、冻结终端、冻结 IP 等操作,并记录安全防护日志。
-
系统体检
系统提供体检功能,快速扫描网站安全情况,检验是否符合动易安全防护标准。检查项目包括但不限于:运行环境检查、安全配置检查、目录权限检查、文件对比、恶意文件扫描、模板文件规范性检测、模板文件错误配置检测。根据预设规则检查结果生成体检报告并评价和打分。
-
恶意文件扫描
支持手动或定时自动扫描恶意文件,扫描包括但不限于一句话木马、WebShell、扩展名与实际文件类型不符的文件等。扫描后可查看文件内容并快速清理。
-
文件对比
提供与厂商官方文件的文件对比功能,比较网站文件与厂商官方发布的产品包文件之间的差异。文件对比界面类似 Beyond Compare 软件,用不同颜色标识本地独有、厂商官方独有及差异文件,帮助排查入侵迹象。
安全日志审计
-
支持记录和查询系统后台的操作日志,日志内容包括用户名、记录时间、来源、IP 地址及详细信息等,支持以 Excel 格式导出全部系统操作日志记录。
-
支持记录和查询系统后台的安全日志,日志内容涵盖用户名、记录时间、来源、IP 地址及详细信息等,并支持将全部系统安全日志记录导出为 Excel 文件。
-
支持记录和查询用户账户的安全日志,日志内容包括用户名、记录时间、来源、IP 地址及详细信息等,支持以 Excel 格式导出全部用户账户的安全日志记录。
-
支持记录和查询用户账户的安全防护日志(针对用户账户攻击行为的拦截日志),日志内容包括计数器类型、锁定时间、解锁时间、记录时间、来源、IP 地址及详细信息等,并支持 Excel 格式导出全部安全防护日志记录。
-
支持记录和查询系统后台的数据删除日志,日志内容包括站点名称、删除时间、数据类型等,并支持将全部系统数据删除日志记录以 Excel 格式导出。
-
支持记录和查询系统后台的异常日志,日志内容包括时间、文件大小、文件内容等,支持单条、批量或直接清空系统异常日志记录。
-
支持对后台所有管理员账号的安全检查,通过检测管理员密码与常见密码库是否匹配来判断是否为弱密码,如为弱密码则提示无法通过,需重新设置强密码。
-
支持数据删除和修改的历史记录,监控数据的有效字段(点击数等可通过前台浏览发生变化的字段除外),当数据发生变化(修改、删除、审批等操作)时记录日志,并提供以时间线形式展示的历史记录浏览功能。用户可以通过比对功能查看详细的数据修改情况,即使内容被删除,也可通过数据删除记录查看到修改历史记录和删除操作者的信息。
用户登录
还没有账号?
立即注册