十大网络安全技巧之（9）：如何保持站点的安全

　　上篇为大家介绍了关于形成防反钓鱼网站的习惯，本篇说下如何保护自己的Web站点。

　　保持自己站点的安全性

　　如今运行一个网站真不是好时候。因为今天的Web绝对不是数字乐土，而是数字战区。如果你运作着一个网站，它有可能成为多种黑客力量的排练场。

　　骗子们使用一些自动化的工具搜索站点，查找最常见的漏洞。如果找到这种网站，就进一步扩大此漏洞，并植入恶意代码，伺机攻击访问此站点的善意用户。

　　因此除了采取一些传统的安全措施之外，还可以进行一些快捷免费的扫描，查找一些最明显的问题。Web漏洞扫描工具有很多， Wikto就是一个不错的选择，它可以检查Web 服务器上的漏洞。其功能与Nikto有许多类似之处，但又增加了一些有趣的功能，如与Google的集成等。

　　下一步需要扫描SQL注入漏洞，这方面的工具有SQL Injection Pen-testing Tool、SQLNinja、微软SQL注入攻击源码扫描器Microsoft Source Code Analyzer for SQL Injection (MSCASI)等。

　　在扫描并修补了漏洞之后，并不能完全保障用户的站点是绝对安全的。例如，JavaScript代码中的漏洞就很难发现，而这正是另外一种常见的攻击类型。而且在一个网站遭到攻击之后，即使修复了漏洞，由于被劫持或攻击而造成的商誉损失在短时间内却很难清除。所以在网站投入运营之前，采取多种手段检查其漏洞是至关重要的。