|
|
|
新手如何做到防止網站被黑 |
發布者:admin 發布時間:2011/10/29 |
在中國,每天有上百個站被黑客入侵,其中不乏大中型企業,更可惡的是被攻擊者入侵拿了webshaell之后把主頁給改了,當然據我了解,初學黑客者為了炫耀自己拿了別人得網站,所以把改主頁當成自己需要的炫耀空間了。有黑客精神的黑客,在發現漏洞會主動聯系該漏洞網站的站長,告訴其漏洞所在處,避免被一些沒良心的黑客入侵掛馬,損了企業形象不說,還讓瀏覽該網站的網民淪為肉雞。我朋友發現了鳳凰網iis6.0解析漏洞,前前后后和管理員聯系了10多個電話,才把漏洞修復。該漏洞可以拿到webshell,如果被黑客掛馬,后果不堪設想。
不多廢話了,簡單介紹下如何防止中小黑客的入侵,避免企業形象受損。以下根據我個人經驗簡介
一:數據庫地址,后臺管理地址, 大多數網站都是從網上下載的源碼,所以必須得把這倆個默認的地址改掉,不然你知我知,從何安全?
二:密碼安全,后臺密碼盡量使用數字加大小寫字母,切勿使用弱口令及網址名稱,弱口令比如admin,admin888,123456。你的網站網址如果是sesail.com,密碼切勿使用帶有sesail的密碼,安全防范中這是需要注意的。要經常做到不定期更改密碼。
三:注入漏洞,這個漏洞已經存在好幾年了,cookie注入.數據庫注入等,但是很多網站還是存在這個問題,如果不懂注入,站長可以從網上下載個阿D注入工具或者明小子,掃下你的網站就知道了,前提是網站是動態asp或php的哦。
四:文件上傳限制,許多網站都提供文件圖片上傳,但是文件上傳要做好數據包限制,限制只能上傳jpg gif doc等.或許你會問,直接限制asp文件就行了,其實不然,如果攻擊者抓包,改包.偽造包,一樣可以突破限制。
五:社工學,攻擊者手段可能很多,但是個人注意加強安全意識很重要,身為站長責任自然是保證網站的安全,所以攻擊者可能偽裝成客戶或合作伙伴,通過QQ.電子郵件給你發合作文檔,應謹慎打開,因為發過來的可能是文檔,可能是文檔夾雜著木馬。如果你打開了,這時你的QQ密碼已經淪陷;蛟S你的QQ密碼就是網站后臺登陸密碼,又或許你的QQ空間暴露了你的朋友,通過以上步驟,欺騙你朋友中木馬,拿到QQ密碼后,偽裝你的朋友給你發帶木馬的圖片。
攻擊手段無處不不在,但是我們要做到基礎防護,在有基礎的前提下繼續延伸,只有自身強大, 才能避免外敵
|
|
|
|