7個網站安全小知識分享

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳

2010年，中國有3.5萬家網站被篡改(未備案的網站更是不計其數)，網站管理員層層設防，無奈，百密之中總有一疏。 然而，根據木桶理論，無論哪一個環節出現短板，對於網站都是潛在的風險。

兵法雲：「知己知彼，百戰不殆」。 為了更好的防範網站被駭客攻破，站長們有必要瞭解一下駭客們的攻擊過程。

一：注入的經典的手工檢測方法

以前駭客攻擊網站，首先是用x-scan對目標進行「踩點」刺探，掃描目標開設了哪些可以利用的埠，是否存在ftp弱/空口令。 如果拿到「123456」「654321」「abc123」這樣簡單的口令，administrator、3389埠帳號，駭客即可「直搗黃龍」，所以管理員們一定要設置儘量複雜的密碼，關閉不必要的埠。

二：注入式，靈巧的試探性入侵

這個方法主要針對php、asp以及jsp等動態語言搭建的網站，以asp網站為例，打開一個asp網站，網頁結構一般是：功能變數名稱/***?accou=co&ID=93，」ID=93」表示使用者向伺服器查詢第93條記錄的內容。

如何手工判斷網站是否存在漏洞呢?第一次駭客會在「功能變數名稱/***?accou=co&ID=93」後面添加「and 1=1」，因為「1=1」始終成立，所以添加之後，回車，網站返回的頁面和原來一模一樣。 然後在「功能變數名稱/***?accou=co&ID=93」添加「and 1=2」，「1=2」不成立，所以返回的是一個帶錯的結果。 通過以上兩步，如果返回的結果和描述的一樣，說明網站存在漏洞。

通過以上方法，站長們可以自己給網站做個簡單的檢測，看網站是否存在漏洞(當然，也有很多工具可以替代我們的手工操作)。

三：MD5加密

駭客得到的密碼是通過MD5加密的，現在有很多網站提供MD5密碼破解的服務，一般都是收費的。 站長們在設置密碼之後，可以通過MD5加密之後，到這些MD5解密網站測試下，如果不能破解，就說明這是一個比較安全的密碼，否則就換一個密碼。

四：注意細節，網站安全防範

1：注意系統漏統，網站模版漏洞，網站程式漏洞

2：少用協力廠商外掛程式

3：防火牆，殺毒軟體一個都不能少

4：使用強悍的密碼(MD5測試通過)

5：不洩露網站的模版，網站的程式，以及個人資訊(很多網站的底部都會留有網站的製作程式，網站的模版，駭客會通過powerd by 等語句找到特定程式的網站)

6：不要和admin等常用使用者名密碼沾邊，很多站長喜歡使用預設的使用者名。 這些使用者名很容易被拆解，所以一定不要使用預設的使用者名，也不要使用和功能變數名稱相關的使用者名密碼。

7：試著黑自己的網站

寫在最後，「沒有人會喜歡一個不安全的網站，攘外必先安內」