防止网站被黑-web安全渗透学习心得

优质老薛主机推荐:15%终身付款折扣:xwseo15 25%首次付款折扣 : xwseo115 点击下图进入购买

防止网站被黑-web安全渗透学习心得,最近小魏在学习研究关于安全渗透的知识,也就是了解下,黑客是怎么样入侵一个网站的,以及一个思路和流程,最主要是工具和方法,在学习的过程中,小魏看到了就是黑客非常的思路清晰,这种方法不行就换一种方法,而且各种工具切换可以说让我们知道了安全的漏洞的产生,以便于我们在安全方面做的更好。
首先黑客入侵一个网站前提:

1.判断程序的类型:比如是织梦,帝国,phpcms,还是dz这些都是黑客需要掌握的,黑网站必须得知道是什么网站,网站使用什么服务器,是iis,还是其他的搭建的站点,是使用php还是使用asp这些都是黑客需要判断的,知道了程序后,黑客会查看你网站程序的版本,如果发现是使用老版本,黑客就会去百度查找老版本程序的漏洞,所以升级新版本很重要,打补丁重中之重。切记不要使用老程序了,漏洞太多,很容易被黑。
2.版本知道之后,黑客会进行查找你的网站的后台,也就是登录的后台获取权限,那么会根据robots.txt,文件,以及社会工程学查找你的域名网站登录后台,所以后台的登录路径一定要更改(最好是无轨迹可查,复杂最好),不要设置成为admin。php这样的后台很容易被黑客猜到。
3.后台查找到之后,那么黑客就需要进行获取数据库的密码和账号,一般也就是为了拿到数据库的权限,这样才能得到网站的数据。
4.在学习的过程中为了避免黑客利用暴力破解工具破解后台密码,我们设置后台密码要复杂,并且验证码是一道安全防线,可以增加黑客的破解的难度。
5.这个时候黑客就会查找网站的注入点,常见的注入点就是上传目录(比如upload图片上传目录,所以一般这个目录我们给的权限不要执行权限,这样即使黑客上传了,那么脚本也执行不了)所谓的注入点也就是可以写入数据库中的点(程序漏洞),也就是属于网站的漏洞,那么怎么查找呢?我们知道为什么静态网站很安全,但是维护起来不方便呢?这个是因为静态网站不需要和数据库连接,基本全部是静态的页面,所以很安全,但是动态网站我们就需要和数据库连接,所以说,黑客会从这个网站中查找漏洞,那么怎么查找注入点呢,黑客会通过扫描工具,
比如通过搜索页面,进行提交数据,或者通过会员页面,进行动态的提交数据,根据动态的参数?这类型,然后查找网站的漏洞,首先黑客会获取你网站的错误提示,然后根据你网站的架构进行工具扫描。
6.黑客要想登录数据库,那么就需要找到ip,也就是数据库名,以及数据库用户,一般找到后,黑客就会进入数据库,然后查看密码,但是呢,我们知道数据库的加密都是MD5加密是看不到真实密码的,那么他们会找到md5码,然后进行MD5库反向破解,破解后,远程登录,进去之后,那么数据就获取到了,所以网站的安全防护很重要。
总结下:黑客黑一个网站的前提

1,查找后台程序类型,找后台登录路径,找注入点(关键点),找ip,这里面会用到很多工具,比如站长工具,爱站工具,查找同ip站点,查找服务器的类型等。

心得二:一般黑客找注入点,会通过upload,上传页进行传后门,然后执行木马来进行控制,所以upload的权限设置很重要,我们需要设置不可执行。
有的网站是没有后台的,所以入侵的时候就需要通过服务器入侵,所以我们做好网站的安全防护不光是程序的防护更加重要的是服务器的安全防护,比如安全狗可以帮我们防护一定的安全拦截。

心得三:在使用iis搭建网站的时候建议不要勾选目录浏览,这样很容易暴漏网站的重要数据,也不要选择可执行权限,还有就是当有执行权限的时候,不要有写入权限不然对网站危害很大。

1.iis不要勾选目录-安全设置

iis不要勾选目录-安全设置

心得四:网站安全不光是服务器安全,还有网站程序安全,网站的程序漏洞等等,所以每一个部分都很重要,一个点出问题了,那么满盘皆输,安全与否取决于最弱的一环,所以做好安全很重要,安全是我们学习搭建网站的第一步。

2.不要同时给予写入和执行权限-安全设置

不要同时给予写入和执行权限-安全设置

赞 (0)
分享到:更多 ()