現(xiàn)在有這么多黑客網(wǎng)站，無論你想在哪里學(xué)習(xí)，你都可以學(xué)到一半的技巧。據(jù)不完全統(tǒng)計(jì)，每天至少有數(shù)萬個(gè)網(wǎng)站被篡改。只要有電腦，就可以說有黑客。網(wǎng)站如何防黑？我們從站開始。首先，選擇服務(wù)器非常重要。因?yàn)榧词鼓愕木W(wǎng)站程序安全，服務(wù)器被打破，你的網(wǎng)站也會(huì)變成玩物。也許在朋友眼里，有一個(gè)想法會(huì)更貴。事實(shí)資金投入只能說是軟硬件的加強(qiáng)，提高了網(wǎng)速或負(fù)荷能力。但是，服務(wù)器的安全性可以人配置，只要網(wǎng)管設(shè)置得當(dāng)，服務(wù)器就可以安全得多。在以前的一些實(shí)踐中發(fā)現(xiàn)了很多GVM學(xué)校設(shè)置不好。好像是架上了iis只要瀏覽網(wǎng)站即可完成。以前聽朋友說GVM學(xué)校網(wǎng)站，只要你得到一個(gè)webshell，基本上，服務(wù)器可以贏。這句話可以解釋一個(gè)現(xiàn)象，許多學(xué)校GVM網(wǎng)站管理員顯然不夠重視網(wǎng)站安全。雖然你的網(wǎng)站只是發(fā)布一些新聞文章，但如果被攻擊者入侵，他的目標(biāo)不一定是一個(gè)簡單的網(wǎng)站，而是一座通往內(nèi)部網(wǎng)絡(luò)服務(wù)器的橋梁。再來說說我們的個(gè)人網(wǎng)站。由于資金考慮，個(gè)人網(wǎng)站基本上都是在虛擬服務(wù)器上托管的。我們個(gè)人站長不能做任何服務(wù)器安全的工作，所以有必要選擇一個(gè)更好、更安全的網(wǎng)站空間。也是虛擬主機(jī)，我遇到的還是比較安全的。消除了目錄權(quán)限配置不當(dāng)泄露信息的一些常見安全隱患。至少不會(huì)被那些亂掛黑頁的人使用。"黑客"隨便鼓搗。如果您在選擇服務(wù)器時(shí)需要幫助。我將免費(fèi)幫助您提供友誼和參考。關(guān)于服務(wù)器的安全配置，我們稍后再寫一篇詳細(xì)的文章。先說做網(wǎng)站的過程。在此之前，讓我們了解一些常用的攻擊手段。1.危險(xiǎn)上傳漏洞這也分為三類：一是上傳的地方?jīng)]有身份驗(yàn)證，木馬可以直接上傳。一種是只注冊一個(gè)賬戶就可以上傳，然后上傳的地方?jīng)]有過濾好。一是管理員后臺(tái)認(rèn)證上傳。當(dāng)然，有些可以直接上傳腳本木馬，有些可以在一定處理后上傳腳本木馬。無論如何，許多攻擊者通過上傳贏得了網(wǎng)站的權(quán)限。2.注入漏洞各種腳本注入漏洞的使用方法不同于權(quán)限。服務(wù)器系統(tǒng)的權(quán)限可以直接受到危險(xiǎn)的威脅。數(shù)據(jù)庫中的賬戶信息可以通過普通注入爆炸。從而獲取管理員的密碼或其他有用的信息。如果權(quán)限高點(diǎn)可以直接寫入webshell，閱讀服務(wù)器目錄文件，或直接添加管理帳戶，執(zhí)行替換服務(wù)等攻擊。3.中轉(zhuǎn)注入，也叫cookie中轉(zhuǎn)注入本來這個(gè)屬于樓上那一類，但我單獨(dú)列出了。有些程序本身或添加的防注入程序只過濾參數(shù)post或者get。而忽略了cookie。因此，只要攻擊者中轉(zhuǎn)，也可以達(dá)到注入的目的。木馬寫入數(shù)據(jù)庫也就是說，有些程序員以前可能認(rèn)為有些程序員以前可能認(rèn)為有些程序員以前認(rèn)為有些程序員以前認(rèn)為mdb易于下載的數(shù)據(jù)庫被替換asp或者asa的。但沒想到這樣的變化，帶來了更大的安全隱患。這兩種格式都可以快速下載到本地。更可怕的是，攻擊者可以通過某種方式提交木馬，插入數(shù)據(jù)庫，然后通過工具連接獲得權(quán)限。5.數(shù)據(jù)庫備份這實(shí)際上是許多網(wǎng)站背景的一個(gè)功能，旨在讓管理員備份數(shù)據(jù)庫。但攻擊者通過這種方式將帶后門的圖片木馬格式改為真正的木馬格式。從而獲得權(quán)限。記得之前網(wǎng)站系統(tǒng)數(shù)據(jù)庫備份的頁面沒有管理認(rèn)證，危害更大。雖然有些網(wǎng)站的數(shù)據(jù)庫備份有限制，但仍然被一些特殊情況所突破。例如，攻擊者可以備份的格式有，asp，asa，cer，htr，cdx，php，jsp，aspx，ashx，asmx還有幾個(gè)iis6.0可用于環(huán)境.asp;x.jpg.asa;x.jpg.php;x.jpg這種類型，很多程序員寫的asp程序只過濾分析asp忽略了格式php等待其他分析。備份目錄的文件夾也叫tjseotv.asptjseotv.asa這種解析。如果不能使用上述內(nèi)容，攻擊者也可以在網(wǎng)站目錄中使用conn.asp文件備份成tjseotv.txt查看數(shù)據(jù)庫路徑，可以將數(shù)據(jù)庫寫入木馬。當(dāng)然，我們無法列出攻擊的方法。通過大家的交流，了解更多。6.管理賬戶密碼泄露也許你會(huì)說，上述攻擊手段需要在賬戶的前提下完成。在這里，我將討論一些常見的管理賬戶密碼泄露。一、萬能密碼"or"="or"。還有其他更多的寫作方法。你可以在我的網(wǎng)站上搜索這個(gè)原則。在管理員面前的賬戶密碼可以直接進(jìn)入后臺(tái)。還有很多網(wǎng)站還能進(jìn)。第二：弱口令。例如，您的密碼是admin/admin888/123456/5201314等。很容易猜到。三是默認(rèn)密碼。這里分為默認(rèn)后臺(tái)密碼和默認(rèn)后臺(tái)數(shù)據(jù)庫。如果攻擊者知道你的網(wǎng)站建立了哪個(gè)源代碼，他們會(huì)去下一個(gè)相同的源代碼，看看默認(rèn)數(shù)據(jù)庫是否可以下載，背景密碼是否沒有更改。第四：站長個(gè)人通用密碼。很多人只在網(wǎng)上使用一個(gè)密碼。無論你的密碼泄露在哪個(gè)環(huán)節(jié)，攻擊者都可以使用這個(gè)密碼來測試你的網(wǎng)站背景、你的電子郵件、你的QQ號(hào)，你的ftp，您在其他地方注冊的賬戶。。。這個(gè)問題有點(diǎn)嚴(yán)重，涉及到社會(huì)工程。7.編輯器兩個(gè)主要編輯器ewebeditor和fckeditor。ewebeditor低版確實(shí)有漏洞，可以構(gòu)建代碼直接上傳木馬。但市場上的高版本并沒有說有什么漏洞。但最邪惡的是，當(dāng)我們使用它時(shí)，我們忘記了它ewebeditor后臺(tái)密碼和數(shù)據(jù)庫路徑導(dǎo)致網(wǎng)站入侵。fckeditor木馬可以直接上傳一些修改版。但自從";"漏洞出現(xiàn)后，入侵者更加瘋狂，有些版本不成功，再次成功。很多大網(wǎng)站都參與其中。8.ftp弱口令如上所述，您可能使用通用密碼。還有弱密碼。例如，你的網(wǎng)站是seo。那么攻擊者可能會(huì)把seoadmin作為用戶名(事實(shí)證明很多虛擬主機(jī)都是這樣配置的)，然后生成一系列弱密碼，比如seo123/seo123456/seo888/seo520/123456/888888/seo.cn/seoftp等等，因?yàn)榭梢杂孟嚓P(guān)工具掃描，他可以生成許多普通人使用的密碼來測試你ftp密碼。科學(xué)研究證明，這種方法也很有害。科學(xué)研究證明，這種方法也很有害。9.0day現(xiàn)在很多人使用一些主流程序。比如動(dòng)網(wǎng)，discuz論壇，phpwind，動(dòng)易、新云等用戶數(shù)量多，也會(huì)時(shí)不時(shí)給大家?guī)?quot;驚喜"，請多關(guān)注站長防黑網(wǎng)最新程序漏洞的文章。盡快補(bǔ)丁程序。10.旁站在同一個(gè)服務(wù)器上贏得其他網(wǎng)站，然后通過一些xx獲取更多信息的手段。如果權(quán)限足夠大，直接向目錄扔木馬；如果權(quán)限一般，不能扔木馬，請閱讀管理員密碼或其他敏感信息進(jìn)一步入侵；如果權(quán)限較差，攻擊者將嘗試嗅探。11.還有一些不能忽視的東西包括文件漏洞，包括文件漏洞，iis寫入漏洞，cookie欺騙，跨站xss等等很多。如果你感興趣，你可以在我的網(wǎng)站上搜索這些術(shù)語和方法。如果你還愛你的網(wǎng)站，可以根據(jù)上面列出的一些方法來測試你的網(wǎng)站，防患于未然。不要等到黑頁高高掛起。