個人網(wǎng)站防黑經(jīng)驗總結(jié) -個人工作總結(jié)

個人網(wǎng)站防黑經(jīng)驗總結(jié)2011-05-17 09：07一.程序問題！而程序分為先天和后天的！先天的就是程序本身就有的漏洞！不要說自己下的是什么最新版本��！官方?jīng)]有漏洞啊，所以很安全！其實什么程序都存在漏洞，不是沒有而是現(xiàn)在沒有被發(fā)現(xiàn)罷了！特別是一些自己寫的程序可以說是漏洞百出！程序本身的漏洞一般有注入漏洞，上傳漏洞，暴庫等等！還有一些別的插件漏洞和小程序漏洞！如ewebeditor編輯器漏洞啊，相冊啊，留言板啊等等，這些程序一般都存在很大的風險，很容易被 所利用！防護辦法：就是官方下載最新版本的系統(tǒng)或CMS！簡化一些不必要的程序！對一些不必要的功能，如上傳等等做嚴格的限制！用工具檢查自己網(wǎng)站方面是否存在注入，暴庫漏洞等！程序的后天的有模板方面或是源碼被有心人插入了惡意代碼或是后門，到頭來你努力做的網(wǎng)站其實一直都在為別人做嫁衣罷了！防護辦法：需要源碼就去比較有名的下載站或是論壇下載源碼，下載回來后有能力的自己檢查一下是否帶有后門！感覺安全了才進行上傳！二。本身配置問題！配置方面要注意以下幾點！1默認的數(shù)據(jù)庫路徑！現(xiàn)在很多 很喜歡做的一件事情就是從默認的數(shù)據(jù)庫地址下數(shù)據(jù)庫來得到網(wǎng)站管理員的帳號密碼！尤其是針對論壇！知道了帳號密碼就等于拿到了整個論壇的管理權(quán)限！其實現(xiàn)在很多站長都有一個誤解，以為把數(shù)據(jù)庫后綴改成ASP就行了但是知道了路徑的情況下用下載軟件把保存文件后綴改成MDB也是可以下載的！防護方法：修改默認的路徑，越復雜越好！對數(shù)據(jù)庫進行防下載設(shè)置！2，默認后臺！現(xiàn)在很多access數(shù)據(jù)庫注入漏洞都是能暴出你的后臺帳號和密碼的！ 用拿到的帳號密碼輸入默認后臺地址就很容易就拿到你的網(wǎng)站權(quán)限了！從入侵到拿到權(quán)限不要3分鐘！防護辦法：修改默認后臺！就算現(xiàn)在人家利用最新的漏洞暴出了你的帳號密碼但是沒有后臺，他拿了也只能干瞪眼！3，弱口令！弱口令是指你的帳號密碼重復或是有很明顯的規(guī)律，！如QQ號碼，生日，電話號碼，默認的的系統(tǒng)自帶的原始密碼等等！現(xiàn)在我們做網(wǎng)站一般都會在站上留一個聯(lián)系方式如電話或QQ等！方便廣告主聯(lián)系以及別人對你網(wǎng)站提意見！但是這些都會被 所利用到！ 會跟你搭話然后從你們的談話種獲取有用的資料！我有一個朋友曾經(jīng)利用社工把人家的身份證號碼，支付寶密碼，銀行密碼，郵箱密碼，QQ密碼等等全都弄到了手！還有設(shè)置的后臺管理密碼一定要復雜，現(xiàn)在的密碼很多都是用MD5或是別的加密的，如果別人在用別的方法得到了你的數(shù)據(jù)庫，但是你的密碼復雜的話人家也沒辦法解密的！我以前就用社會工程學拿下過某網(wǎng)站他使用的是默認的后臺地址，默認的密碼，這幾是典型的弱口令！當然現(xiàn)在我告訴了站長他已經(jīng)修改了！防護辦法：設(shè)置一些自己能記住但是沒什么很多規(guī)律的密碼！對重要密碼要特別設(shè)置！不要圖方便所有的網(wǎng)上上的帳號密碼都一樣，這樣一個密碼的泄露就有可能導致整個網(wǎng)上信息的泄露！設(shè)置復雜的密碼，最好是在9位數(shù)字以上，英文字母和數(shù)字搭配使用！三：IDC問題！現(xiàn)在個人站長的安全意識越來越高但是自己的網(wǎng)站安全防護措施做的很到位為什么還是會被黑呢?這里就涉及到了IDC管理員的問題！很多站長朋友貪圖小便宜認為小的空間商空間速度不錯，價格便宜所以都選擇了小空間商！但是你要知道也許正是你貪圖小便宜的心理會讓你的網(wǎng)站和心血全是都付之東流！現(xiàn)在很多 對定點入侵網(wǎng)站都選擇了旁注的方法，也就是說比如他想入侵你的網(wǎng)站，但是你的網(wǎng)站配置相當安全的情況下，那 就會轉(zhuǎn)移目標去入侵和你同一服務(wù)器的網(wǎng)站！然后通過別的網(wǎng)站拿下的后門進行目錄的跳轉(zhuǎn)或是提升權(quán)限來達到控制整個服務(wù)器的的目的！那時候你的安全想對服務(wù)器權(quán)限來說沒什么可言了！服務(wù)器管理員的問題還有服務(wù)器的軟件配置問題，

安裝了第三方軟件，如：Serv-U，F(xiàn)TPflash，VPN，pcanywhere等等，安裝了這些軟件的服務(wù)器很容易被提升權(quán)限，從而達到得到服務(wù)器的權(quán)限的目的！還有就是沒安裝防ARP軟件！因為機房的一臺服務(wù)器的淪陷導致整個機房的淪陷！被別人ARP掛馬或是ARP宿探等等！這樣我們的網(wǎng)站就會 入惡意代碼，F(xiàn)TP密碼就會被 所截��！服務(wù)器的硬件配置問題！當你的網(wǎng)站在網(wǎng)上取得了一定的成績的時候，別人可能就會跟你競爭或眼紅！于是為了跟你爭排名，人家最常做的就是對你的網(wǎng)站進行DDOS，也就是拒絕服務(wù)攻擊！如果你的網(wǎng)站配置不高的，沒有硬件防火墻的話那別人用幾只或是幾十只肉雞就可以輕易的把你的網(wǎng)站D死，讓你的網(wǎng)站長時間的無法訪問，從而導致搜索引擎對你進行降權(quán)或是K站！很多大型的網(wǎng)站曾經(jīng)都遭到過大型的拒絕服務(wù)攻擊！防護辦法：找一個好的IDC商，問清楚他們的服務(wù)器配置！不要貪圖小便宜！要知道一分錢一分貨！四：個人電腦安全問題！如果個人電腦的安全沒做好！種了遠程控制木馬的話那說什么都沒用了！人家可以很清楚的記錄你的所有帳號密碼！對他而言你在網(wǎng)上沒有任何密碼！防護方法：及時給電腦打補丁，殺毒肯定也要裝。

【個人網(wǎng)站防黑經(jīng)驗總結(jié) -個人工作總結(jié)】相關(guān)文章：

如何開始淘寶銷售?(開店流程個人經(jīng)驗總結(jié))11-30

個人的工作總結(jié)06-05

個人安全工作總結(jié)04-28

個人研修工作總結(jié)05-25

個人周工作總結(jié)04-24

個人工作總結(jié)06-15

個人銷售工作總結(jié)02-27

個人半年工作總結(jié)03-04

個人轉(zhuǎn)正工作總結(jié)03-14

個人季度工作總結(jié)04-03