現(xiàn)在有這么多黑客網(wǎng)站，無(wú)論你想在哪里學(xué)習(xí)，你都可以學(xué)到一半的技巧。據(jù)不完全統(tǒng)計(jì)，每天至少有數(shù)萬(wàn)個(gè)網(wǎng)站被篡改。只要有電腦，就可以說(shuō)有黑客。網(wǎng)站如何防黑？我們從站開(kāi)始。首先，選擇服務(wù)器非常重要。因?yàn)榧词鼓愕木W(wǎng)站程序安全，服務(wù)器被打破，你的網(wǎng)站也會(huì)變成玩物。也許在朋友眼里，有一個(gè)想法會(huì)更貴。事實(shí)資金投入只能說(shuō)是軟硬件的加強(qiáng)，提高了網(wǎng)速或負(fù)荷能力。但是，服務(wù)器的安全性可以人配置，只要網(wǎng)管設(shè)置得當(dāng)，服務(wù)器就可以安全得多。在以前的一些實(shí)踐中發(fā)現(xiàn)了很多GVM學(xué)校設(shè)置不好。好像是架上了iis只要瀏覽網(wǎng)站即可完成。以前聽(tīng)朋友說(shuō)GVM學(xué)校網(wǎng)站，只要你得到一個(gè)webshell，基本上，服務(wù)器可以贏。這句話可以解釋一個(gè)現(xiàn)象，許多學(xué)校GVM網(wǎng)站管理員顯然不夠重視網(wǎng)站安全。雖然你的網(wǎng)站只是發(fā)布一些新聞文章，但如果被攻擊者入侵，他的目標(biāo)不一定是一個(gè)簡(jiǎn)單的網(wǎng)站，而是一座通往內(nèi)部網(wǎng)絡(luò)服務(wù)器的橋梁。再來(lái)說(shuō)說(shuō)我們的個(gè)人網(wǎng)站。由于資金考慮，個(gè)人網(wǎng)站基本上都是在虛擬服務(wù)器上托管的。我們個(gè)人站長(zhǎng)不能做任何服務(wù)器安全的工作，所以有必要選擇一個(gè)更好、更安全的網(wǎng)站空間。也是虛擬主機(jī)，我遇到的還是比較安全的。消除了目錄權(quán)限配置不當(dāng)泄露信息的一些常見(jiàn)安全隱患。至少不會(huì)被那些亂掛黑頁(yè)的人使用。"黑客"隨便鼓搗。如果您在選擇服務(wù)器時(shí)需要幫助。我將免費(fèi)幫助您提供友誼和參考。關(guān)于服務(wù)器的安全配置，我們稍后再寫(xiě)一篇詳細(xì)的文章。先說(shuō)做網(wǎng)站的過(guò)程。在此之前，讓我們了解一些常用的攻擊手段。1.危險(xiǎn)上傳漏洞這也分為三類：一是上傳的地方?jīng)]有身份驗(yàn)證，木馬可以直接上傳。一種是只注冊(cè)一個(gè)賬戶就可以上傳，然后上傳的地方?jīng)]有過(guò)濾好。一是管理員后臺(tái)認(rèn)證上傳。當(dāng)然，有些可以直接上傳腳本木馬，有些可以在一定處理后上傳腳本木馬。無(wú)論如何，許多攻擊者通過(guò)上傳贏得了網(wǎng)站的權(quán)限。2.注入漏洞各種腳本注入漏洞的使用方法不同于權(quán)限。服務(wù)器系統(tǒng)的權(quán)限可以直接受到危險(xiǎn)的威脅。數(shù)據(jù)庫(kù)中的賬戶信息可以通過(guò)普通注入爆炸。從而獲取管理員的密碼或其他有用的信息。如果權(quán)限高點(diǎn)可以直接寫(xiě)入webshell，閱讀服務(wù)器目錄文件，或直接添加管理帳戶，執(zhí)行替換服務(wù)等攻擊。3.中轉(zhuǎn)注入，也叫cookie中轉(zhuǎn)注入本來(lái)這個(gè)屬于樓上那一類，但我單獨(dú)列出了。有些程序本身或添加的防注入程序只過(guò)濾參數(shù)post或者get。而忽略了cookie。因此，只要攻擊者中轉(zhuǎn)，也可以達(dá)到注入的目的。木馬寫(xiě)入數(shù)據(jù)庫(kù)也就是說(shuō)，有些程序員以前可能認(rèn)為有些程序員以前可能認(rèn)為有些程序員以前認(rèn)為有些程序員以前認(rèn)為mdb易于下載的數(shù)據(jù)庫(kù)被替換asp或者asa的。但沒(méi)想到這樣的變化，帶來(lái)了更大的安全隱患。這兩種格式都可以快速下載到本地。更可怕的是，攻擊者可以通過(guò)某種方式提交木馬，插入數(shù)據(jù)庫(kù)，然后通過(guò)工具連接獲得權(quán)限。5.數(shù)據(jù)庫(kù)備份這實(shí)際上是許多網(wǎng)站背景的一個(gè)功能，旨在讓管理員備份數(shù)據(jù)庫(kù)。但攻擊者通過(guò)這種方式將帶后門的圖片木馬格式改為真正的木馬格式。從而獲得權(quán)限。記得之前網(wǎng)站系統(tǒng)數(shù)據(jù)庫(kù)備份的頁(yè)面沒(méi)有管理認(rèn)證，危害更大。雖然有些網(wǎng)站的數(shù)據(jù)庫(kù)備份有限制，但仍然被一些特殊情況所突破。例如，攻擊者可以備份的格式有，asp，asa，cer，htr，cdx，php，jsp，aspx，ashx，asmx還有幾個(gè)iis6.0可用于環(huán)境.asp;x.jpg.asa;x.jpg.php;x.jpg這種類型，很多程序員寫(xiě)的asp程序只過(guò)濾分析asp忽略了格式php等待其他分析。備份目錄的文件夾也叫tjseotv.asptjseotv.asa這種解析。如果不能使用上述內(nèi)容，攻擊者也可以在網(wǎng)站目錄中使用conn.asp文件備份成tjseotv.txt查看數(shù)據(jù)庫(kù)路徑，可以將數(shù)據(jù)庫(kù)寫(xiě)入木馬。當(dāng)然，我們無(wú)法列出攻擊的方法。通過(guò)大家的交流，了解更多。6.管理賬戶密碼泄露也許你會(huì)說(shuō)，上述攻擊手段需要在賬戶的前提下完成。在這里，我將討論一些常見(jiàn)的管理賬戶密碼泄露。一、萬(wàn)能密碼"or"="or"。還有其他更多的寫(xiě)作方法。你可以在我的網(wǎng)站上搜索這個(gè)原則。在管理員面前的賬戶密碼可以直接進(jìn)入后臺(tái)。還有很多網(wǎng)站還能進(jìn)。第二：弱口令。例如，您的密碼是admin/admin888/123456/5201314等。很容易猜到。三是默認(rèn)密碼。這里分為默認(rèn)后臺(tái)密碼和默認(rèn)后臺(tái)數(shù)據(jù)庫(kù)。如果攻擊者知道你的網(wǎng)站建立了哪個(gè)源代碼，他們會(huì)去下一個(gè)相同的源代碼，看看默認(rèn)數(shù)據(jù)庫(kù)是否可以下載，背景密碼是否沒(méi)有更改。第四：站長(zhǎng)個(gè)人通用密碼。很多人只在網(wǎng)上使用一個(gè)密碼。無(wú)論你的密碼泄露在哪個(gè)環(huán)節(jié)，攻擊者都可以使用這個(gè)密碼來(lái)測(cè)試你的網(wǎng)站背景、你的電子郵件、你的QQ號(hào)，你的ftp，您在其他地方注冊(cè)的賬戶。。。這個(gè)問(wèn)題有點(diǎn)嚴(yán)重，涉及到社會(huì)工程。7.編輯器兩個(gè)主要編輯器ewebeditor和fckeditor。ewebeditor低版確實(shí)有漏洞，可以構(gòu)建代碼直接上傳木馬。但市場(chǎng)上的高版本并沒(méi)有說(shuō)有什么漏洞。但最邪惡的是，當(dāng)我們使用它時(shí)，我們忘記了它ewebeditor后臺(tái)密碼和數(shù)據(jù)庫(kù)路徑導(dǎo)致網(wǎng)站入侵。fckeditor木馬可以直接上傳一些修改版。但自從";"漏洞出現(xiàn)后，入侵者更加瘋狂，有些版本不成功，再次成功。很多大網(wǎng)站都參與其中。8.ftp弱口令如上所述，您可能使用通用密碼。還有弱密碼。例如，你的網(wǎng)站是seo。那么攻擊者可能會(huì)把seoadmin作為用戶名(事實(shí)證明很多虛擬主機(jī)都是這樣配置的)，然后生成一系列弱密碼，比如seo123/seo123456/seo888/seo520/123456/888888/seo.cn/seoftp等等，因?yàn)榭梢杂孟嚓P(guān)工具掃描，他可以生成許多普通人使用的密碼來(lái)測(cè)試你ftp密碼。科學(xué)研究證明，這種方法也很有害。科學(xué)研究證明，這種方法也很有害。9.0day現(xiàn)在很多人使用一些主流程序。比如動(dòng)網(wǎng)，discuz論壇，phpwind，動(dòng)易、新云等用戶數(shù)量多，也會(huì)時(shí)不時(shí)給大家?guī)?lái)"驚喜"，請(qǐng)多關(guān)注站長(zhǎng)防黑網(wǎng)最新程序漏洞的文章。盡快補(bǔ)丁程序。10.旁站在同一個(gè)服務(wù)器上贏得其他網(wǎng)站，然后通過(guò)一些xx獲取更多信息的手段。如果權(quán)限足夠大，直接向目錄扔木馬；如果權(quán)限一般，不能扔木馬，請(qǐng)閱讀管理員密碼或其他敏感信息進(jìn)一步入侵；如果權(quán)限較差，攻擊者將嘗試嗅探。11.還有一些不能忽視的東西包括文件漏洞，包括文件漏洞，iis寫(xiě)入漏洞，cookie欺騙，跨站xss等等很多。如果你感興趣，你可以在我的網(wǎng)站上搜索這些術(shù)語(yǔ)和方法。如果你還愛(ài)你的網(wǎng)站，可以根據(jù)上面列出的一些方法來(lái)測(cè)試你的網(wǎng)站，防患于未然。不要等到黑頁(yè)高高掛起。