花魁直播高品质美女在线视频互动社区 - 花魁直播官方版

 歡迎來(lái)到素材無(wú)憂網(wǎng),按 + 收藏我們
登錄 注冊(cè) 退出 找回密碼

獻(xiàn)給Dedecms經(jīng)常被掛馬的站長(zhǎng)朋友

時(shí)間: 2019-05-13 10:26 閱讀: 作者:素材無(wú)憂網(wǎng)

關(guān)鍵字描述:朋友 站長(zhǎng) 經(jīng)常 網(wǎng)站 黑客 這個(gè) 可以 大家 上傳 增加

獻(xiàn)給經(jīng)常被掛馬的站長(zhǎng)朋友,要防止掛馬每步都要小心
如題:
我經(jīng)??吹接械呐笥颜f(shuō)“DEDECMS程序有安全問(wèn)題,我的網(wǎng)站又被掛馬了”
我卻覺(jué)得DedeCms的應(yīng)該沒(méi)有問(wèn)題,根據(jù)查看dede的用戶表單的源碼,都是有過(guò)濾的
用dedecms的用戶那么多,如果真的有安全漏洞,我怕用的不會(huì)只是幾個(gè)朋友而已。
下面是黑客常用的SQL注入手段和大家要注意的東西

1..用工具,用黑客的工具去檢查你網(wǎng)站的漏洞~當(dāng)然不要濫用~用些注入SQL的黑客軟件檢查下你網(wǎng)站就可以了(如啊D注入器等等,我都使用過(guò),沒(méi)有發(fā)現(xiàn)Dede有漏洞有可以掛碼的地方,不信你也可以去測(cè)試,當(dāng)然我不知道不代表沒(méi)有,但是你也應(yīng)該知道,使用dede的朋友有多少,如果真的出現(xiàn)很容易被抓的漏洞,要被掛的網(wǎng)站數(shù)量恐怕會(huì)很恐怖)

2.后臺(tái)地址一定要改,不要用DEDE這個(gè)文件夾做你的后臺(tái),有些朋友竟然不知道Dede這個(gè)后臺(tái)文件夾可以改名???

3.后臺(tái)最好加上驗(yàn)證碼,雖然麻煩了點(diǎn),但是可以避免不少的小黑客用社會(huì)工程學(xué)來(lái)破解你的網(wǎng)站(我就試過(guò),很多朋友的密碼常常是手機(jī)號(hào),域名,qq等等)

4.如果給自己的網(wǎng)站增加了字段(比如要求用戶申請(qǐng)時(shí)輸入生日等等)要過(guò)濾,別自己的問(wèn)題推到了DEDE的頭上。(建議有一定PHP技術(shù)的朋友去修改,為達(dá)到功能不是簡(jiǎn)單的在前臺(tái)增加表單后臺(tái)增加發(fā)布表單然后增加數(shù)據(jù)庫(kù)字段這么簡(jiǎn)單,要防止XSS攻擊就要注意增加htmlspecialchars,mysql_escape_string())

5.還有不少的朋友在自己的空間上為了增加功能還使用了一些小程序(那些程序我也用過(guò)忘記刪除了,結(jié)果被掛碼)比如:相冊(cè)、報(bào)名之類的程序,這些程序的作者都是些不出名的,他們的程序基本上會(huì)有一定的風(fēng)險(xiǎn),有的黑客就可以利用這點(diǎn),上傳blackeyes小馬(就是木馬),得到你的虛擬空間的使用權(quán),然后就是用工具批量掛馬。

6.別忽視了IDC服務(wù)器商的風(fēng)險(xiǎn)哦,我告訴你~對(duì)于黑客來(lái)說(shuō)~為了掛你的站,常常不是使用對(duì)點(diǎn)方式的破解,而選擇旁注入的方法,他們的方法就是破解與你同一個(gè)服務(wù)器上的其他網(wǎng)站,不要不信,別人要知道你網(wǎng)站的鄰居有哪些輕松的很(進(jìn)這個(gè)網(wǎng)站自己查查看同一ip下的所有網(wǎng)站,輸入你的ip地址就可以了),破解你同一服務(wù)器上的其他用戶,讓你掛馬也是很輕松的了(我用這個(gè)方法就掛過(guò)別人的網(wǎng)站)。對(duì)于一些好的服務(wù)器尚對(duì)于這個(gè)限制的厲害,就不會(huì)出現(xiàn)這個(gè)問(wèn)題。

7.還有就是你開(kāi)啟的用戶上傳這一欄最好嚴(yán)格控制一下,這個(gè)也比較關(guān)鍵,如果黑客不是破解你后臺(tái)的話,掛你馬也就難多了,因?yàn)樗麄冃枰蟼饕粋€(gè)掛馬工具上來(lái),如果你已經(jīng)被掛馬了,切記要檢查下你的網(wǎng)站是不是允許上傳html.php.asp等文件了。

8.時(shí)刻關(guān)注Dede官方發(fā)布的安全補(bǔ)丁,上次出的幾個(gè)安全補(bǔ)丁我都研究過(guò)了,有些漏洞都是因?yàn)殡p重原因才可能被別人利用(Dede竟然也重視了,可見(jiàn)DEDE還是關(guān)注安全問(wèn)題的,我記得那個(gè)會(huì)員補(bǔ)丁好象是1月發(fā)布的,2月有些黑客網(wǎng)站發(fā)布了針對(duì)沒(méi)有打這個(gè)補(bǔ)丁的網(wǎng)站進(jìn)入掛馬的文章,竟然還有一些朋友中了~我很無(wú)語(yǔ),希望大家隨時(shí)關(guān)注官方的安全補(bǔ)?。?br />
9.有些朋友經(jīng)常把中了馬之后的文件上傳到這個(gè)論壇然后希望大家一起研究,我想說(shuō)“那個(gè)東西上傳了也不能得到防止的方法,因?yàn)槟莻€(gè)JS或者iframe并不是關(guān)鍵,你上傳了大家只能去破解下加密文件的木馬而已。”別人留下的東西只是目的而不是工具。

10.不可抗拒的自然因素,比如一個(gè)超級(jí)頂級(jí)黑客要掛你的網(wǎng)站,我怕很多沒(méi)有毛病的東西都會(huì)有毛病了,相信我一句話,掛馬的黑客都是一些菜鳥(niǎo)黑客和工具黑客,做好以上,那些黑客就不知道怎么做了。

本來(lái)不想發(fā)這個(gè)的,不知道怎么搞的寫了這么多!
上一頁(yè)12 下一頁(yè)

版權(quán)聲明: 本站資源均來(lái)自互聯(lián)網(wǎng)或會(huì)員發(fā)布,如果侵犯了您的權(quán)益請(qǐng)與我們聯(lián)系,我們將在24小時(shí)內(nèi)刪除!謝謝!

轉(zhuǎn)載請(qǐng)注明: 獻(xiàn)給Dedecms經(jīng)常被掛馬的站長(zhǎng)朋友

相關(guān)文章
模板推薦