2023年个人网站防黑经验总结个人工作总结.docx
蜗牛文库
-高品质阅读,高比例分成-
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
2023
个人
网站
经验总结
工作总结
个人网站防黑经验总结个人工作总结
个人网站防黑经验总结2023-05-172023:2023一、程序问题。而程序分为先天和后天的。先天的就是程序本身就有的漏洞。不要说自己下的是什么最新版本啊。官方没有漏洞啊,所以很平安。其实什么程序都存在漏洞,不是没有而是现在没有被发现罢了。特别是一些自己写的程序可以说是漏洞百出。程序本身的漏洞一般有注入漏洞,上传漏洞,暴库等等。还有一些别的插件漏洞和小程序漏洞。如ewebeditor编辑器漏洞啊,相册啊,留言板啊等等,这些程序一般都存在很大的风险,很容易被所利用。防护方法:就是官方下载最新版本的系统或cms。简化一些不必要的程序。对一些不必要的功能,如上传等等做严格的限制。用工具检查自己网站方面是否存在注入,暴库漏洞等。程序的后天的有模板方面或是源码被有心人插入了恶意代码或是后门,到头来你努力做的网站其实一直都在为别人做嫁衣罢了。防护方法:需要源码就去比较有名的下载站或是论坛下载源码,下载回来后有能力的自己检查一下是否带有后门。感觉平安了才进行上传。二。本身配置问题。配置方面要注意以下几点。1默认的数据库路径。现在很多很喜欢做的一件事情就是从默认的数据库地址下数据库来得到网站管理员的帐号密码。尤其是针对论坛。知道了帐号密码就等于拿到了整个论坛的管理权限。其实现在很多站长都有一个误解,以为把数据库后缀改成asp就行了但是知道了路径的情况下用下载软件把保存文件后缀改成mdb也是可以下载的。防护方法:修改默认的路径,越复杂越好。对数据库进行防下载设置。2,默认后台。现在很多access数据库注入漏洞都是能暴出你的后台帐号和密码的。用拿到的帐号密码输入默认后台地址就很容易就拿到你的网站权限了。从入侵到拿到权限不要3分钟。防护方法:修改默认后台。就算现在人家利用最新的漏洞暴出了你的帐号密码但是没有后台,他拿了也只能干瞪眼。3,弱口令。弱口令是指你的帐号密码重复或是有很明显的规律,。如qq号码,生日, 号码,默认的的系统自带的原始密码等等。现在我们做网站一般都会在站上留一个联系方式如 或qq等。方便广告主联系以及别人对你网站提意见。但是这些都会被所利用到。会跟你搭话然后从你们的谈话种获取有用的资料。我有一个朋友曾经利用社工把人家的身份证号码,支付宝密码,银行密码,邮箱密码,qq密码等等全都弄到了手。还有设置的后台管理密码一定要复杂,现在的密码很多都是用md5或是别的加密的,如果别人在用别的方法得到了你的数据库,但是你的密码复杂的话人家也没方法解密的。我以前就用社会工程学拿下过某网站他使用的是默认的后台地址,默认的密码,这几是典型的弱口令。当然现在我告诉了站长他已经修改了。防护方法:设置一些自己能记住但是没什么很多规律的密码。对重要密码要特别设置。不要图方便所有的网上上的帐号密码都一样,这样一个密码的泄露就有可能导致整个网上信息的泄露。设置复杂的密码,最好是在9位数字以上,英文字母和数字搭配使用。三:idc问题。现在个人站长的平安意识越来越高但是自己的网站平安防护措施做的很到位为什么还是会被黑呢。这里就涉及到了idc管理员的问题。很多站长朋友贪图小廉价认为小的空间商空间速度不错,价格廉价所以都选择了小空间商。但是你要知道也许正是你贪图小廉价的心理会让你的网站和心血全是都付之东流。现在很多对定点入侵网站都选择了旁注的方法,也就是说比方他想入侵你的网站,但是你的网站配置相当平安的情况下,那就会转移目标去入侵和你同一效劳器的网站。然后通过别的网站拿下的后门进行目录的跳转或是提升权限来到达控制整个效劳器的的目的。那时候你的平安想对效劳器权限来说没什么可言了。效劳器管理员的问题还有效劳器的软件配置问题,
安装了第三方软件,如:serv-u,ftpflash,vpn,pcanywhere等等,安装了这些软件的效劳器很容易被提升权限,从而到达得到效劳器的权限的目的。还有就是没安装防arp软件。因为机房的一台效劳器的沦陷导致整个机房的沦陷。被别人arp挂马或是arp宿探等等。这样我们的网站就会入恶意代码,ftp密码就会被所截取。效劳器的硬件配置问题。当你的网站在网上取得了一定的成绩的时候,别人可能就会跟你竞争或眼红。于是为了跟你争排名,人家最常做的就是对你的网站进行ddos,也就是拒绝效劳攻击。如果你的网站配置不高的,没有硬件防火墙的话那别人用几只或是几十只肉鸡就可以轻易的把你的网站d死,让你的网站长时间的无法访问,从而导致搜索引擎对你进行降权或是k站。很多大型的网站曾经都遭到过大型的拒绝效劳攻击。防护方法:找一个好的idc商,问清楚他们的效劳器配置。不要贪图小廉价。要知道一分钱一分货。四:个人平安问题。如果个人的平安没做好。种了远程控制木马的话那说什么都没用了。人家可以很清楚的记录你的所有帐号密码。对他而言你在网上没有任何密码。防护方法:及时给打补丁,杀毒肯定也要装。
第4页 共4页
