鼎誉网络科技-长沙专业建站网
首 页 | 网站建设 | 域名知识 | 网站空间 | 网站维护 | 网站防黑 | 服务器专区 | 网站营销 | 网站赚钱 | 网站备案
站长工具 | 网页设计 | 作品集 | 鼎誉网络科技 | 网站SEO优化 | 免费优化分析 | 网站赚钱啦 | 邮件群发 | 站长墙 | 联系我们
网站搜索 网站搜索:
鼎誉网络科技让您企业的网络营销至少少走一年弯路!
免费的邮件推广工具送给您!

长沙网站制作长沙网站建设长沙建站网站建站网站设计网站学习ASP程序程序学习美工设计页面设计好玩网站商务型网站制作株洲网站制作湖南网站制作,北京网站制作湖北网站制作湘潭网站制作怀化网站制作郴州网站制作邵阳网站制作常德网站制作我要做网站我公司要做网站做网站网站益阳网站制作湘西网站制作永州网站制作娄底网站制作张家界网站制作旅游网站制作我的网站网站除木马网站优化网站SEO免费推广免费优化长沙最好的网络公司,长沙最低价的网络公司长沙最牛的网站长沙最牛的优化长沙最好的人长沙最好的网站长沙低价网站免费做网站 小陈网站制作长沙小陈网站制作长沙交友长沙网络交友

您现在的位置: 鼎誉网络科技营销系统 >> 文章中心 >> 网站防黑 >> 正文

网站黑客的几个技巧总结

作者:鼎誉网科 文章来源:本站原创 点击数: 更新时间:2010/4/24 16:13:01

 

                                                                          网站黑客的几个技巧总结 

网站如何防黑?
           小陈从做站开始讲起。首先选好服务器这个是很重要的。因为即使你的网站程序再安全,服务器被攻破了,你的网站就沦为玩物了。也许在朋友们的眼里有个想法是安全的服务器会更贵吧。其实不然,资金的投入只能说是软硬件的加强,让网速或者负荷能力有所提高。但服务器的安全是可以人为配置的,只要网管的设置恰当,就能让服务器安全很多。在以前的一些实践当中发现很多政府学校的设置得都比较欠佳。仿佛是架上了iis只要能浏览网站就算完工。以前听一个朋友说政府学校的网站,只要拿到一个webshell,基本上服务器就可以拿下了。这句话可以说明个现象,很多学校政府的网站管理员明显不够重视网站安全。虽然你网站只是发布点新闻文章而已,但是被攻击者入侵,那他的目标就不一定是单纯的网站了,而是架起了一座通往内网服务器的一座桥梁。再来谈谈我们个人网站。个人网站由于资金方面的考虑,也基本上都是托管在虚拟服务器上的比较多。服务器的安全我们个人站长也做不了什么工作,所以选择一个好点,安全的空间是很有必要的。同样是虚拟主机,我遇到过的还是有比较安全的。杜绝了一些常见因为的目录权限配置不当泄露信息的安全隐患。至少不会被那些乱挂黑页的"黑客"随便鼓捣。如果大家再选择服务器的时候需要帮忙的话,会免费为大家友情提供帮助的,并提供参考意见。关于服务器的安全配置,我们后面再写详细的文章。
  再来谈做网站的过程。再此之前我们来了解下一些常用的攻击手段。
  1.危险性的上传漏洞
  这个也要分三类:
  一类是上传的地方无任何身份验证,而且可以直接上传木马。
  一类是只是注册一个账户就可以上传的,然后上传的地方也没有做好过滤。
  一类是管理员后台的认证上传的。
  当然有的上传可以直接上传脚本木马,有的经过一定的处理后才可以上传脚本木马。无论怎样这是很多攻击者都是通过上传拿下网站的权限。
  2.注入漏洞
  各种脚本的注入漏洞利用方法跟权限都有所差异。危险的可以直接威胁到服务器系统权限。普通的注入可以爆出数据库里面的账户信息。从而得到管理员的密码或其他有利用的资料。如果权限高点可以直接写入webshell,读取服务器的目录文件,或者直接加管理账户,执行替换服务等等攻击。
  3.中转注入,也叫cookie中转注入
  本来这个要归于楼上那一类,但是我单自列出来了。有些程序本身或者外加的防注入程序都只是过滤了对参数的post或者get。而忽略了cookie。所以攻击者只要中转一下同样可以达到注入的目的。
  4.数据库写入木马
  也就是以前可能有些程序员认为mdb的数据库容易被下载,就换成asp或者asa的。但是没有想到这么一换,带来了更大的安全隐患。这两种格式都可以用迅雷下载到本地的。更可怕的是,攻击者可以一些途径提交一句话木马,插入到数据库来,然后用工具连接就获得权限了。
  5.数据库备份
  这其实是很多网站后台的一个功能,本意是让各位管理员备份数据库。但是攻击者通过这个来把自己上传带后门的图片木马的格式改成真正的木马格式。从而得到权限。记得之前有个网站系统数据库备份的那个页面没有管理认证,那危害就更大了。有的网站数据库备份虽然有限制,但是还是被某些特殊情况突破了。比如攻击者可以备份的格式有,asp,asa,cer,htr,cdx,php,jsp,aspx,ashx,
  asmx还有几个iis6.0环境下可利用的.asp;x.jpg .asa;x.jpg .php;x.jpg这类的,很多程序员编写的asp程序只过滤解析asp的格式,忽略了php等其他的解析。还有就是备份目录的文件夹名为zzfhw.asp zzfhw.asa这种解析。如果以上的都用不了,攻击者还可能网站目录下的conn.asp文件备份成zzfhw.txt来查看数据库路径,也许会用的数据库写入木马的手段。当然攻击的方法是我们列举不完的。只有通过大家的交流,了解更多。
  6.管理账户密码的泄露
  也许大家会说上面那一种攻击手段需要在有管理账户的前提下完成。这里我就讲下一些常见的管理账户密码的泄露。
  第一:万能密码'or'='or'。还有其他更多的写法。这个的原理大家可以在我网站里搜索下。就是把这个当着管理员的账户密码就可以直接进入后台。现在还有很多网站仍然能进。
  第二:弱口令。比如你的密码是admin/admin888/123456/5201314等。这样很容易被猜到。
  第三:默认密码。这里分默认的后台密码与默认的后台数据库。假如攻击者知道了你网站是哪一套源码搭建的,就会去下一套相同的源码来看默认的数据库是否能下载,后台密码是否仍未更改。
  第四:站长个人通用密码。很多人就是在网络上只用一个密码。不管是哪个环节你的密码被泄露,攻击者可能用这个密码去测试你的网站后台,你的邮箱,你的QQ号,你的ftp,你在其他地方注册的账户。。。这个问题有点严重,涉及到社会工程学这一块。
  7.编辑器
  两大主力编辑器ewebeditor和fckeditor。ewebeditor低版本的确是是存在漏洞,可以构造代码直接上传木马。但是高版本现在市场上的还没有说有什么漏洞。但是 邪恶的却是大家用的时候忘记该ewebeditor的后台密码和数据库路径,从而导致网站被入侵。fckeditor有些修改版的可以直接上传的木马。但自从";"漏洞出现后,入侵者就比较疯狂了,有的版本传一次不成功,还要再传一次就成功了。很多大网站就被牵连。
  8.ftp弱口令
  上面讲过了,有可能你用了通用密码。还有就是弱口令。比如你的网站是www.zzfhw.com。那么攻击者可能把zzfhw作为用户名(事实证明很多虚拟主机都是这样配置的),然后生成一系列的弱口令,比如zzfhw123/zzfhw123456/zzfhw888/zzfhw520/123456/888888/zzfhw.com/zzfhwftp等等,因为可以用相关的工具来扫描,所有他可以生成很多一般人都用的密码来试探你的ftp密码。科学研究证明这个方法危害性也比较大。
  9.0day
  现在很多人用一些主流的程序。比如动网,discuz论坛,phpwind,动易,新云等等这些用户量很多源码,也会时不时的给大家带来"惊喜",对于这个大家请多关注站长防黑网 新程序漏洞的文章。尽快为程序打上补丁。
  10.旁站。就是拿下与你同一服务器上的其他网站,然后在通过一些xx手段,得到更多的信息。如果权限够大,直接扔个木马到你目录;如果权限一般,扔木马扔不进去,就读你管理员密码,或者其他敏感信息,进一步入侵;如果权限比较差一点,攻击者会尝试嗅探。
  11.还有一些不能忽略的。暴库,列目录,任意下载漏洞,包含文件漏洞,iis写入漏洞,cookie欺骗,跨站xss等等很多很多。大家有兴趣的可以在我的网站搜索了解下这些名词及方法。
  好了,这些基本的方法都说完了,如果遇见高手觉得还没有说完的,欢迎发我邮箱。我们了解了这些攻击的手段。然后可以针对各个击破。确保自己的网站安全。比如常用的后台是admin.manage.system我们可以改成不常见不会被猜到的,也别再程序上面写什么后台登陆的链接。选择程序的时候,通过百度谷歌查看是否有漏洞,是否为 新版。如果你还爱护你的网站,你可以根据上面罗列的一些方法对自己的网站进行测试,防患于未然。不要等到黑页高高挂起的时候再心疼。
  写在后面的话:个人感觉,现在的网站安全普遍来说比较差,主要是大家意识不够。我只是一个小站长,不能跟大公司的安全专家比,虽然我不能给大家提出多么多么厉害的技巧,但是只要能减少贵站被入侵的机会,也就ok了。安全是一个过程,不是一个结果。被入侵了,我们要找到原因。希望大家的网站越做越好。如果上面的文章有错的地方,欢迎来信指正。

长沙鼎誉网科/小陈网站制作

本文关键字:|长沙营销型网站建设|营销型网站制作|什么是营销型网站|


·以上内容部份或全部来自网络,由鼎誉网科搜集整理,如有侵权请联系我们立即删除,如转载请注明原文出处,并保留以下内容。
    [鼎誉网科] http://www.dywlkj.comhttp://www.xckww.com 是长沙市鼎誉网络科技有限公司的品牌,专业经营域名注册虚拟主机网站建设服务器租用托管 , 网站优化 , 网站改版杀毒等业务。经过多年的高速发展,“鼎誉网科”已经成为我国一家知名的互联网服务提供商。
  • 上一篇文章:

  • 下一篇文章:
  •   本文相关文章:

     网站建设介绍 网站建设价格 网站建设流程
    如何策划网站与制作
    如何制作网站地图
    互联网赚钱三种 基本的模式
    怎样提高GG广告点击率
    LOGO的作用
    网站策划的重要性
    美国gy酒店网站模式 谈当今gy酒店网运营策划
    网站从策划到运营
    网站运营策划八个步骤

    点击排行  
    普通文章站长需要知道的几个网站防黑基本步骤?
    普通文章【鼎誉网络】路由器为什么要防黑?
    普通文章【鼎誉网络公司收集】如何防止网站被写
    普通文章鼎誉网络为您分析主机被黑的两种可能是
    普通文章如何防范网站被黑的窍决
    普通文章如何做好网站防黑
    普通文章是么是网站防黑
    普通文章网站黑客的手段
    普通文章如何防制网站被K
    普通文章网站防黑的绝招
    网站建设
    固顶文章市面上便宜网站制作利弊
    普通文章史上 全推广渠道总汇,不可不知道的优质
    普通文章什么是网络营销,网络营销包含哪些方面
    普通文章网络推广优质干活,做一次保证一年的流
    普通文章网络推广的有效渠道有哪些
    普通文章从小白到高手,网络推广的一百种方法
    普通文章SEO与SEO,为什么你做的没效果,用这四
    普通文章外链为王,内容为皇,SEO到底应该怎么做
    普通文章网站建设中这几件事你一定要注意
    普通文章移动建站与电脑建站哪方更重要,弹窗真
    普通文章 优质的建站方案,H5一站式建站pc移动同
    普通文章优化网站,从每一个细节开始,一篇优质
    普通文章免费的好用助手,免费运营助手助你运营
    普通文章如何快速诊断一个网站是否有优化到位
    普通文章如何通过伪原创文章来提升网站权重,伪
    普通文章网站建设时如何做好网站页面的关键词设
    普通文章网站优化的常见方法
    普通文章网站优化很重要,网站优化应该如何做
    普通文章让你的网站更加美观,网站建设之网页设
    普通文章如果做出一个用户体验上乘的优质网站?
    普通文章网站备案详细流程
    普通文章网站防黑应该做到的几点
    普通文章SEO网站优化怎么做
    普通文章微信6.0该这么改?看微信重度用户的猜想
    普通文章中小企业是否应该做营销型网站?
    - 友情链接 - 我要去主站申请链接
    [申请链接]
    [更多链接]
    关于湖南鼎誉网络 | 各地网站制作 | 域名空间 | 服务器托管 | 网站学习 | 培训天地 | 免费推广鼎誉网络 | 友情链接 | 邮件系统
    Copyright 2015 powered by dywlkj.com & 鼎誉网络 湘ICP备09029911号 All Rights Reserved.
    Baidu

    (工作日:9:00-18:30)

    在线QQ

    商务咨询①

    商务咨询②

    商务咨询③

    商务咨询④

    联系电话0731-854196570731-83527868

    免费服务热线400-0731-269

    微博鼎誉网络官方微博

    博客鼎誉网络官方博客