主页> seo技术> 【北京seo实战】据不完全统计,每天至少有数以万计的网站被篡改。可以说只要有电脑就有黑客。因为即使你的网站程序再安全,服

【北京seo实战】据不完全统计,每天至少有数以万计的网站被篡改。可以说只要有电脑就有黑客。因为即使你的网站程序再安全,服

北京seo 2019-10-16 13:02 seo技术 171次

现在有这么多的黑客网站,无论你想在哪里学习,你都可以学到一个半窍。据不完全统计,每天至少有数以万计的网站被篡改。可以说只要有电脑就有黑客。

黑客网站

网站如何防黑?

我们从做站开始讲起。首先选好服务器这个是很重要的。因为即使你的网站程序再安全,服务器被攻破了,你的网站就沦为玩物了。也许在朋友们的眼里有个想法是安全的服务器会更贵吧。其实不然,资金的投入只能说是软硬件的加强,让网速或者负荷能力有所提高。但服务器的安全是可以人为配置的,只要网管的设置恰当,就能让服务器安全很多。在以前的一些实践当中发现很多GVM学校的设置得都比较欠佳。仿佛是架上了iis只要能浏览网站就算完工。以前听一个朋友说GVM学校的网站,只要拿到一个webshell,基本上服务器就可以拿下了。这句话可以说明个现象,很多学校GVM的网站管理员明显不够重视网站安全。虽然你网站只是发布点新闻文章而已,但是被攻击者入侵,那他的目标就不一定是单纯的网站了,而是架起了一座通往内网服务器的一座桥梁。再来谈谈我们个人网站。个人网站由于资金方面的考虑,也基本上都是托管在虚拟服务器上的比较多。服务器的安全我们个人站长也做不了什么工作,所以选择一个好点,安全的网站空间是很有必要的。同样是虚拟主机,我遇到过的还是有比较安全的。杜绝了一些常见因为的目录权限配置不当泄露信息的安全隐患。至少不会被那些乱挂黑页的"黑客"随便鼓捣。如果大家再选择服务器的时候需要帮忙的话。我会免费为大家友情提供帮助的,并提供参考意见。关于服务器的安全配置,我们后面再写详细的文章。

再来谈做网站的过程。再此之前我们来了解下一些常用的攻击手段。

1.危险性的上传漏洞

这个也要分三类:

一类是上传的地方无任何身份验证,而且可以直接上传木马。

一类是只是注册一个账户就可以上传的,然后上传的地方也没有做好过滤。

一类是管理员后台的认证上传的。

当然有的上传可以直接上传脚本木马,有的经过一定的处理后才可以上传脚本木马。无论怎样这是很多攻击者都是通过上传拿下网站的权限。

2.注入漏洞

各种脚本的注入漏洞利用方法跟权限都有所差异。危险的可以直接威胁到服务器系统权限。普通的注入可以爆出数据库里面的账户信息。从而得到管理员的密码或其他有利用的资料。如果权限高点可以直接写入webshell,读取服务器的目录文件,或者直接加管理账户,执行替换服务等等攻击。

3.中转注入,也叫cookie中转注入

本来这个要归于楼上那一类,但是我单自列出来了。有些程序本身或者外加的防注入程序都只是过滤了对参数的post或者get。而忽略了cookie。所以攻击者只要中转一下同样可以达到注入的目的。

4.数据库写入木马

也就是以前可能有些程序员认为mdb的数据库容易被下载,就换成asp或者asa的。但是没有想到这么一换,带来了更大的安全隐患。这两种格式都可以用迅雷下载到本地的。更可怕的是,攻击者可以一些途径提交一句话木马,插入到数据库来,然后用工具连接就获得权限了。

5.数据库备份

这其实是很多网站后台的一个功能,本意是让各位管理员备份数据库。但是攻击者通过这个来把自己上传带后门的图片木马的格式改成真正的木马格式。从而得到权限。记得之前有个网站系统数据库备份的那个页面没有管理认证,那危害就更大了。有的网站数据库备份虽然有限制,但是还是被某些特殊情况突破了。比如攻击者可以备份的格式有,asp,asa,cer,htr,cdx,php,jsp,aspx,ashx,

asmx还有几个iis6.0环境下可利用的.asp;x.jpg .asa;x.jpg .php;x.jpg这类的,很多程序员编写的asp程序只过滤解析asp的格式,忽略了php等其他的解析。还有就是备份目录的文件夹名为tjseotv.asp tjseotv.asa这种解析。如果以上的都用不了,攻击者还可能网站目录下的conn.asp文件备份成tjseotv.txt来查看数据库路径,也许会用的数据库写入木马的手段。当然攻击的方法是我们列举不完的。只有通过大家的交流,了解更多。

6.管理账户密码的泄露

也许大家会说上面那一种攻击手段需要在有管理账户的前提下完成。这里我就讲下一些常见的管理账户密码的泄露。

本文标题:【北京seo实战】据不完全统计,每天至少有数以万计的网站被篡改。可以说只要有电脑就有黑客。因为即使你的网站程序再安全,服

本文地址:http://www.gzxdxh.com/seojs/4807.html

Tags:

网站分类
标签列表