作為站長,網站的安全有多重要應該都清楚的吧,可是網上還是有那么多的網站不堪一擊。。。
網站的話,如果用access數據庫,一定得把數據庫地址搞復雜點。。。
后臺,也一樣,不能讓別人猜到。。。記得有牛人說過“能找到后臺的網站,要么很安全,要么很不安全”
為了安全起見,修改后臺目錄是很必要的。。。
調用數據庫,很常見的漏洞就是sql注入了,現在網上有很多菜鳥工具來利用這個漏洞,很多菜鳥黑客也能輕松入侵幾個網站了。。。
網上很多網站系統都有注入,尤其是一些小型企業站的系統。。。不過好多都用了通用防注入程序,但是通用防注入,防不住cookies注入,所以我們要升級通用防注入程序了。。。網上有很多防注入的程序。。。這里我也送大家一個,是網上下載來的,怎么用?直接調用這個文件就行了。。。像調用數據庫連接文件那樣。。。哪個文件調用?可以是有注入漏洞的那個程序,也可以是...自己想。。。
還有一個嚴重的問題就是跨站,尤其是XSS盜取cookies,別小看這個,在國內這個問題很嚴重。。。我也不多說了,而且很多大型的程序如DZ也會時不時的爆出跨站漏洞。。。
很多站長都有自己的服務器,服務器安全也是很關注的吧。有一種入侵技術叫做旁注,就是說從你的服務器上的另一個網站入手,來拿下你的網站的權限。。。這種事都發生在服務器安全不好的時候。。。
虛擬主機的安全設置都很不錯,每個網站都有獨立的windows低權限用戶,咱們也可以這樣設置:
C,D,E...盤的根目錄只保留system和administrators完全控制,C盤一些地方用附件的批處理設置。。。
比如我的網站[url]http://www.qdtrip.net/[/url]放在D:\wwwroot\qdtrip\web\文件夾下,我們新建一個用戶qdtrip,添加進guests組,刪除默認的users組。
然后在D:\wwwroot\qdtrip這個目錄上右鍵,屬性,保留system和administrators組的完全控制權限,然后再添加qdtrip這個用戶的完全控制權限。。。
然后在IIS中設置匿名訪問用戶為hengheren,就這樣,簡單的安全設置就好了
wscript.shell這個組件沒用,可以弄掉。。。具體看附件的txt文件。。。還有服務器的安全設置,參考附件內的bat文件,亦可直接在服務器上運行。。。
03服務器以前有個ODAY,用那個叫做“巴西烤肉”的黑軟可以通過guest權限把自己提升為system權限,奇怪的是有些打了全部補丁的機器還是有這個漏洞,我也不知道為什么。。。不過很少,不用擔心。。。
服務器上不要安裝不安全的遠程軟件如pcanywhere和radmin,如果非要安裝的話,權限設置的好一點。。。其實3389遠程桌面的功能已經非常強大了。。。
Serv-U也害人不淺,本地管理密碼記得修改得復雜一點。。。切記,不然你的網站淪陷,你的服務器也幸免于難了。。。 |
|
|
|
本文出自:億恩科技【www.czbl888.cn】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質保障!--億恩科技[ENKJ.COM]
|
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
