如何防御攻击网站?常见网站入侵手段及防御方法
上传入侵
上传入侵便是通过上传文件来获得权限,针对有上传文件权限的网站实施,好比论坛可以上传附件、资讯站可以投稿上传图片,这些都可能为上传木马提供便利,上传木马以后,很多信息都会轻松暴露出来的。这个漏洞在网站源码中比较常见,被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高。
防御方法:
第三方开源代码要及时升级官方提供的程序补丁;注意对上传的文件进行限制,例如限制文件类型、文件尺寸等,同时要对上传文件以后存储的文件夹进行权限限制,好比图片存储的文件夹没必要保留脚本执行权限,去掉脚本执行权限及文件解压权限等。
暴库,也就是直接下载到数据库
暴库主要是针对使用微软Access数据库的网站。很多入门菜鸟直接从网上下一个免费的程序源码上传上去就用了,黑客可以轻而易举的下载的数据库,因为数据库地址完全就是默认路径。暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台或者后台的权限了。
暴库方法:
比如一个站的地址为http://www.xxx.com/dispbbs.asp?boardID=7&ID=161,我门就可以把com/dispbbs中间的/换成%5c 如果有漏洞直接得到数据库的绝对路径 用迅雷什么的下载下来就可以了,还有种方法就是利用默认的数据库路径 http://www.xxx.com/ 后面加上conn.asp,如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这里的/也要换成%5c)为什么换成%5c:因为在ASCII码里/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了。如果暴出的数据库文件是以.ASP结尾的,这里可以在下载时把.ASP换成.MDB,这样就可以下载了。如果还下载不了,可能是网站做了防下载。
防御方法:
修改默认数据库路径;做.mdb的防下载处理;不要在页面直接显示错误信息。
SQL注入漏洞
这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的,可以得到管理员的帐号密码等。比如这个网址 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的网站,我们可以手动在后面加上个and 1=1看看,如果显示正常页面,再加上个and 1=2看看,如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞,知道了站点有没有漏洞我门就可以利用了。
防御方法:
不要使用动态拼装的SQL语句,推荐使用参数化SQL语句;对接收的参数进行字符串长度验证;对单引号和双”-“、下划线、百分号等sql注释符号进行转义
XSS/CSRF跨站攻击
Xss(Cross Site Scripting 跨站脚本攻击)/CSRF(Cross-site request forgery 跨站请求伪造),它与著名的SQL注入攻击类似,都是利用了Web页面的编写不完善。SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在Xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,它允许恶意web用户将代码植入到提供给其它用户使用的页面中,这些代码包括HTML代码和客户端脚本,然后引导其他用户点击某链接或浏览页面,将document.cookie等信息传到指定服务器,然后攻击者就可以模拟该用户正常登录网站,窃取用户信息或敏感资料。
防御方法:
对cookie信息进行加密;尽量使用cookie的HttpOnly属性;对接收的用户输入进行长度验证;对接收的用户输入进行HTML转码
COOKIE欺骗
COOKIE是你上网时由网站所为你发送的值记录了你的一些资料,比如IP,姓名什么的,几乎所有的网站都在使用cookie。
那么怎样通过cookie欺骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了 但是破解不出来密码 (MD5是加密后的一个16位的密码),我们就可以用COOKIE诈骗来实现,把自己的ID修改成管理员的,MD5密码也修改成他的,有工具可以修改COOKIE,这样就答到了COOKIE诈骗的目的,系统以为你就是管理员了。
防御方法:
对COOKIE进行加密。
程序漏洞
网站程序漏洞便是指程序代码自身的漏洞,好比你用dedecms没修改后台地址及admin账号,或者没有升级dedecms的补丁;或者用了破解的程序,这些程序自身的漏洞很致命,利用者知道漏洞后去搜索引擎查找一下,轻松找到数以百计的漏洞网站。
防御方法:
尽量少用破解的程序源码,使用知名CMS时要注意官方介绍的安全配置,建议抹去网站内核程序信息;另外,做资讯站建议关闭会员中心,做论坛建议严格限制附件格式,同时要注意及时升级补丁,别建个站十天半个月都不去看一下。
爆破入侵
爆破便是暴力破解,现在互联网上有很多程序在扫描破解FTP、服务器登录地址等,如果你用的弱口令,好比服务器root账号6位密码,那么很容易被暴力破解;这种入侵方式很傻,不过很有效,总有人不喜欢太复杂的密码。
防御方法:
设置长度不低于18位的密码,建议英文字母大小写及数字、符号组合;保证你的账号密码和别的地方的账号密码不同,避免别人通过字典匹配成功。至于后台地址及端口号什么的,不走寻常路,复杂意味着安全。
旁注入侵
入侵某站时可能这个站坚固的无懈可击,网站程序很安全,安全配置很专业。这时,我们可以找和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。打个形象的比喻, 比如你和我一个楼 我家很安全,而你家呢 却漏洞百出 现在有个贼想入侵我家 他对我家做了监视(也就是扫描)发现没有什么可以利用的东西 那么这个贼发现你家和我家一个楼 你家很容易就进去了 他可以先进入你家 然后通过你家得到整个楼的钥匙(系统权限) 这样就自然得到我的钥匙了 就可以进入我的家(网站)
防御方法:
这种情况经常发生在虚拟主机中,其中一个网站中毒,如果服务器安全配置不好,很可能被取得服务器权限,从而对所有的网站下手。如果经济条件允许,建议选择VPS或者云主机,安全性可以提升不止一个档次。
读者福利:免费提供私域运营诊断方案(每天随机10个名额)加微信: 57807073 (长安复制) 马上咨询 !版权声明:本文内容由互联网用户自发贡献,该文观点及内容相关仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容请联系QQ:15101117立即清除!
