- 相關(guān)推薦
個(gè)人網(wǎng)站防黑經(jīng)驗(yàn)總結(jié) -個(gè)人工作總結(jié)
個(gè)人網(wǎng)站防黑經(jīng)驗(yàn)總結(jié)2011-05-17 09:07一.程序問題!而程序分為先天和后天的!先天的就是程序本身就有的漏洞!不要說自己下的是什么最新版本。」俜?jīng)]有漏洞啊,所以很安全!其實(shí)什么程序都存在漏洞,不是沒有而是現(xiàn)在沒有被發(fā)現(xiàn)罷了!特別是一些自己寫的程序可以說是漏洞百出!程序本身的漏洞一般有注入漏洞,上傳漏洞,暴庫等等!還有一些別的插件漏洞和小程序漏洞!如ewebeditor編輯器漏洞啊,相冊(cè)啊,留言板啊等等,這些程序一般都存在很大的風(fēng)險(xiǎn),很容易被 所利用!防護(hù)辦法:就是官方下載最新版本的系統(tǒng)或CMS!簡化一些不必要的程序!對(duì)一些不必要的功能,如上傳等等做嚴(yán)格的限制!用工具檢查自己網(wǎng)站方面是否存在注入,暴庫漏洞等!程序的后天的有模板方面或是源碼被有心人插入了惡意代碼或是后門,到頭來你努力做的網(wǎng)站其實(shí)一直都在為別人做嫁衣罷了!防護(hù)辦法:需要源碼就去比較有名的下載站或是論壇下載源碼,下載回來后有能力的自己檢查一下是否帶有后門!感覺安全了才進(jìn)行上傳!二。本身配置問題!配置方面要注意以下幾點(diǎn)!1默認(rèn)的數(shù)據(jù)庫路徑!現(xiàn)在很多 很喜歡做的一件事情就是從默認(rèn)的數(shù)據(jù)庫地址下數(shù)據(jù)庫來得到網(wǎng)站管理員的帳號(hào)密碼!尤其是針對(duì)論壇!知道了帳號(hào)密碼就等于拿到了整個(gè)論壇的管理權(quán)限!其實(shí)現(xiàn)在很多站長都有一個(gè)誤解,以為把數(shù)據(jù)庫后綴改成ASP就行了但是知道了路徑的情況下用下載軟件把保存文件后綴改成MDB也是可以下載的!防護(hù)方法:修改默認(rèn)的路徑,越復(fù)雜越好!對(duì)數(shù)據(jù)庫進(jìn)行防下載設(shè)置!2,默認(rèn)后臺(tái)!現(xiàn)在很多access數(shù)據(jù)庫注入漏洞都是能暴出你的后臺(tái)帳號(hào)和密碼的! 用拿到的帳號(hào)密碼輸入默認(rèn)后臺(tái)地址就很容易就拿到你的網(wǎng)站權(quán)限了!從入侵到拿到權(quán)限不要3分鐘!防護(hù)辦法:修改默認(rèn)后臺(tái)!就算現(xiàn)在人家利用最新的漏洞暴出了你的帳號(hào)密碼但是沒有后臺(tái),他拿了也只能干瞪眼!3,弱口令!弱口令是指你的帳號(hào)密碼重復(fù)或是有很明顯的規(guī)律,!如QQ號(hào)碼,生日,電話號(hào)碼,默認(rèn)的的系統(tǒng)自帶的原始密碼等等!現(xiàn)在我們做網(wǎng)站一般都會(huì)在站上留一個(gè)聯(lián)系方式如電話或QQ等!方便廣告主聯(lián)系以及別人對(duì)你網(wǎng)站提意見!但是這些都會(huì)被 所利用到! 會(huì)跟你搭話然后從你們的談話種獲取有用的資料!我有一個(gè)朋友曾經(jīng)利用社工把人家的身份證號(hào)碼,支付寶密碼,銀行密碼,郵箱密碼,QQ密碼等等全都弄到了手!還有設(shè)置的后臺(tái)管理密碼一定要復(fù)雜,現(xiàn)在的密碼很多都是用MD5或是別的加密的,如果別人在用別的方法得到了你的數(shù)據(jù)庫,但是你的密碼復(fù)雜的話人家也沒辦法解密的!我以前就用社會(huì)工程學(xué)拿下過某網(wǎng)站他使用的是默認(rèn)的后臺(tái)地址,默認(rèn)的密碼,這幾是典型的弱口令!當(dāng)然現(xiàn)在我告訴了站長他已經(jīng)修改了!防護(hù)辦法:設(shè)置一些自己能記住但是沒什么很多規(guī)律的密碼!對(duì)重要密碼要特別設(shè)置!不要圖方便所有的網(wǎng)上上的帳號(hào)密碼都一樣,這樣一個(gè)密碼的泄露就有可能導(dǎo)致整個(gè)網(wǎng)上信息的泄露!設(shè)置復(fù)雜的密碼,最好是在9位數(shù)字以上,英文字母和數(shù)字搭配使用!三:IDC問題!現(xiàn)在個(gè)人站長的安全意識(shí)越來越高但是自己的網(wǎng)站安全防護(hù)措施做的很到位為什么還是會(huì)被黑呢?這里就涉及到了IDC管理員的問題!很多站長朋友貪圖小便宜認(rèn)為小的空間商空間速度不錯(cuò),價(jià)格便宜所以都選擇了小空間商!但是你要知道也許正是你貪圖小便宜的心理會(huì)讓你的網(wǎng)站和心血全是都付之東流!現(xiàn)在很多 對(duì)定點(diǎn)入侵網(wǎng)站都選擇了旁注的方法,也就是說比如他想入侵你的網(wǎng)站,但是你的網(wǎng)站配置相當(dāng)安全的情況下,那 就會(huì)轉(zhuǎn)移目標(biāo)去入侵和你同一服務(wù)器的網(wǎng)站!然后通過別的網(wǎng)站拿下的后門進(jìn)行目錄的跳轉(zhuǎn)或是提升權(quán)限來達(dá)到控制整個(gè)服務(wù)器的的目的!那時(shí)候你的安全想對(duì)服務(wù)器權(quán)限來說沒什么可言了!服務(wù)器管理員的問題還有服務(wù)器的軟件配置問題,安裝了第三方軟件,如:Serv-U,F(xiàn)TPflash,VPN,pcanywhere等等,安裝了這些軟件的服務(wù)器很容易被提升權(quán)限,從而達(dá)到得到服務(wù)器的權(quán)限的目的!還有就是沒安裝防ARP軟件!因?yàn)闄C(jī)房的一臺(tái)服務(wù)器的淪陷導(dǎo)致整個(gè)機(jī)房的淪陷!被別人ARP掛馬或是ARP宿探等等!這樣我們的網(wǎng)站就會(huì) 入惡意代碼,F(xiàn)TP密碼就會(huì)被 所截!服務(wù)器的硬件配置問題!當(dāng)你的網(wǎng)站在網(wǎng)上取得了一定的成績的時(shí)候,別人可能就會(huì)跟你競(jìng)爭(zhēng)或眼紅!于是為了跟你爭(zhēng)排名,人家最常做的就是對(duì)你的網(wǎng)站進(jìn)行DDOS,也就是拒絕服務(wù)攻擊!如果你的網(wǎng)站配置不高的,沒有硬件防火墻的話那別人用幾只或是幾十只肉雞就可以輕易的把你的網(wǎng)站D死,讓你的網(wǎng)站長時(shí)間的無法訪問,從而導(dǎo)致搜索引擎對(duì)你進(jìn)行降權(quán)或是K站!很多大型的網(wǎng)站曾經(jīng)都遭到過大型的拒絕服務(wù)攻擊!防護(hù)辦法:找一個(gè)好的IDC商,問清楚他們的服務(wù)器配置!不要貪圖小便宜!要知道一分錢一分貨!四:個(gè)人電腦安全問題!如果個(gè)人電腦的安全沒做好!種了遠(yuǎn)程控制木馬的話那說什么都沒用了!人家可以很清楚的記錄你的所有帳號(hào)密碼!對(duì)他而言你在網(wǎng)上沒有任何密碼!防護(hù)方法:及時(shí)給電腦打補(bǔ)丁,殺毒肯定也要裝。【個(gè)人網(wǎng)站防黑經(jīng)驗(yàn)總結(jié) -個(gè)人工作總結(jié)】相關(guān)文章:
如何開始淘寶銷售?(開店流程個(gè)人經(jīng)驗(yàn)總結(jié))11-30
個(gè)人的工作總結(jié)06-05
個(gè)人安全工作總結(jié)04-28
個(gè)人研修工作總結(jié)05-25
個(gè)人周工作總結(jié)04-24
個(gè)人工作總結(jié)06-15
個(gè)人銷售工作總結(jié)02-27
個(gè)人半年工作總結(jié)03-04
個(gè)人季度工作總結(jié)04-03