这个文章我放在落伍首发了,本想争取点积分落伍的,发完了一看,写得太烂了,就不指望加分了。我这里还空得很,就在这里又发一次吧!
我在论坛上看到有人发一个贴子,说一个女黑客可以在一分钟内入侵GOV-MENT网站并挂马。也许会有人觉得这不太可能,但是从实际上讲这并不是没有可能的,做站长的人群里面肯定隐藏着不少的高手,对这种事情对他们而言我想也可以是轻而易举的事情。
我以前在一些安全论坛里面呆过,经常看到有些人在交流这些技术问题,实际上要入侵一个站点不难,包括入侵一些服务器,主要还是看安全设置的问题。其中最不安全的属于那些多个网站共享一个服务器的虚拟主机,因为这种服务器最大的不安全因素在于站点太多,你无法保证哪个站点就是绝对地安全,如果其中一个站点存在漏洞,就可能导致整个服务器的失守。
现在最常的入侵手法无非是通过注入来入侵,相对来说也非常容易,只要利用一二个简单的检测工具就能查出大量的注入点,只要有合适的注入链接,他就有可能利用这个注入点,破解你的数据库里面的账户,有人会说,账户密码是经过MD5加密的,不怕;这也不完全对,如果安全意识较高的站长,可能会把后台的管理密码设置得比较复杂,经过MD5加密后再想破解就比较难,比较出名的MD5解密网站www.md5.com就是一个最好的说明,好久之前我就看到他们网站上说,他们可以通过比对的方式来解密MD5值,数据库的容量按TB级算的,大家可以想一下他们手上有多少可以破解的密码,现在他们实行的是简单的破解是免费的,但是复杂一些的破解需要收费,从这一点说明,加密后的MD5也不是绝对安全。如果你的竞争对手打定心要黑你的站点。只要在你站点同服务器的站点上找出一个相对安全性较差的网站入侵。通过跨站入侵的方式,达到入侵你的网站的目的也不是没有可能的。所以对于站长来说,后台管理的密码一定要复杂,虽然相对于跨站入侵的时候不起作用,但是也是一层保证,就算对方检测到你的注入点,他获取到你加密码后的后台密码,但是他无法解密,这就无形中给你的网站加了一道安全之门。我检测过一些企业站点中绝大多数的后台密码都很简单,纯数字的非常多,解密起来非常容易,入侵起来也非常容易,这就直接导致整个服务器上面的所有站点都陷入危险,当然,不少的学校和GOV-MENT 站点也有这种情况。只是大多的入侵者所遵守的规则是不会去入侵GOV-MENT站点的,除非那个不正常。
另外一个就是网站后台的路径,在入侵的过程,如果想要利用漏洞入侵你的站点,很大一部分要登陆上你的后台利用上传代码,然后利用差异备份来获取你的网站控制权,如果一旦黑客成功上传了他的大马。他就能控制整站网站的生死,甚至利大马拿下整台服务器都不是没有可能。只是技术高低的问题了,这叫做提权。所以一个网站的后台登陆地址也要改。不要用程序的默认路径,改一下名字就能再给你的网站加上一道安全之门,做站长的都知道用搜索引擎,同样,黑客也能利用搜索引擎搜出你的后台地址,如果你不信,你试试你百度或GG里面查一下搜索网站后台地址的语法,看看你的站能否被搜索出来?我不说绝对,但是至少有一部分可以被查出来,另外利用一些注入工具也能查出大部分的后台地址,在这我就不细表了。所以说,网站的后台路径一定要,默认的后台地址是非常危险的,同理,开源的程序,默认的数据库也要改名,想想当年动网论坛因为不改默认数据库的,被黑了多少?
最后要说的就是注入点的问题了,什么是注入?这是我从百度上搜的,懒得打字了:
随着B/S模式应用开发的发展,使用该模式编写程序的程序员越来越来越多,但是由于程序员的水平参差不齐,相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想要知的数据,这个就是所谓的SQLinjection,即sql注入式攻击。
脚本注入攻击者把SQL命令插入到WEB表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令,在某些表单中,用户输入的内容直接用来构造动态的SQL命令,或作为存储过程的输入参数,从而获取想得到的密码或其它服务器上的资料。
作为一个站长,对你的网站进行自我注入检测是非常必要的,如果你的站点存在注入点,就可能导致你的站点不安全,同样就导致了整台服务器的不安全,如果所有的人对自己的站点安全不在乎,那么,你就可能是整台服务器被入侵的罪人,如果有可能,顺手检测一下整台服务器的安全性,包括别的站点是否安全,会不会因为别的站点而危机到我们自己的站点,发现问题,相互告之,然后通知服务器管理员,加固安全。大家好,才是真的好!对于已发现的注入点,一定要要及时防注,网上有这种教程及代码,可以用百度查查。
对于网站的安全,我只在最简单的几个方面聊了一下,这只是在网站本身最基本上的层面上说的,对于安全意识较差的站长有必要仔细看一下。如果哪天你的站被入侵了,也好有心里有数!
