站长朋友你的网站安全了吗

  今天我闲着无聊就进了一个网站觉得那个网站还可以,我发现那个网站是用ASP语言的,我就随便加了一个‘上去,居然出现了数据错误,然后我再去猜解,到最后把那个网站的帐号密码猜解出来了。我没有去更改他什么,只是给他留言告诉他。现在很多的站有太多的注入点。希望各位网管能做好一点。不要搞太多的漏洞出来,这不仅害人又害已。

 什么样的站点容易被黑客入侵呢?

  有人说,我做人低调点,不得罪人,自然没人黑我了。其实,就算你没有竞争对手雇佣人黑你,也会有好奇的或者练习技术的无聊黑客想入侵您的站一探究竟的。

  所以,什么样的站容易被黑客入侵。不是坏人的站,而是有漏洞的网站。

  不论您的站是动态的网站,比如asp、php、jsp 这种形式的站点,还是静态的站点,都存在被入侵的可能性。

  您的网站有漏洞吗?如何知道您的网站有没有漏洞呢?

  普通的黑客主要通过上传漏洞、暴库、注入、旁注等几种方式入侵近7成网站的。当然,还有更高级别的入侵行为,有些黑客为寻找一个入侵点而跟进一个网站好几个月的事儿都有。我们先重点看看这些容易被黑的网站。

  1、上传漏洞

  这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。

  漏洞解释:

  在网站的地址栏中网址后加上/upfile.asp如果显示 上传格式不正确[重新上传] 这样的字样8成就是有上传漏洞了找个可以上传的工具直接可以得到WEBSHELL。

  工具介绍:

  上传工具,老兵的上传工具、DOMAIN3.5,这两个软件都可以达到上传的目的,用NC也可以提交。

  专家解疑:

  WEBSHELL是什么?许多人都不理解,这里就简单讲下,其实WEBSHELL并不什么深奥的东西,是个WEB的权限,可以管理WEB,修改主页内容等权限,但是并没有什么特别高的权限,(这个看管理员的设置了)一般修改别人主页大多都需要这个权限,接触过WEB木马的朋友可能知道(比如老兵的站长助手就是WEB木马 海阳2006也是 WEB木马)我们上传漏洞最终传的就是这个东西,有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。

  提醒:

  大多网站的程序都是在公有的程序基础上修改的,程序总会存在漏洞。聪明的网站管理员应该学会熟练的掌握以上工具,时常关注自己web程序最新的漏洞。并使用上述工具进行自我检测,以确保网站安全。

  2、暴库:

  许多站点有这个漏洞可以利用。非常危险!

  漏洞解释:

  暴库就是提交字符得到数据库文件,得到了数据库文件黑客就直接有了站点的前台或者后台的权限了.比如一个站的地址为 http: //www.XXX.com/dispbbs.asp?boardID=7&ID=161,黑客就可以把com/dispbbs中间的/换成%5c,如果有漏洞直接得到数据库的绝对路径,用迅雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径http: //www.xxx.com/后面加上conn.asp。如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这里的/也要换成%5c)。

  解疑:

  为什么换成%5c:因为在ASCII码里/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了,为什么我暴出的数据库文件是以。ASP结尾的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样就可以下载了如果还下载不了可能作了防下载。

  提醒:

  数据库始终是黑客最感兴趣的东西。数据库安全性却不是每个程序员在编程的时候能全面考虑到的。应该在上线后,找专业的安全公司进行测试数据库渗透测试,以确保数据库安全。

  3、注入漏洞:

  这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。

  漏洞解释:

  注入漏洞是因为字符过滤不严禁所造成的,可以得到管理员的帐号密码等相关资料。

  解疑:

  我先介绍下怎样找漏洞比如这个网址http: //www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看 如果显示正常页面 再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞,知道了站点有没有漏洞我门就可以利用了

  工具介绍:

  可以手工来猜解也可以用工具现在工具比较多(NBSI NDSI 啊D DOMAIN等)都可以用来猜解帐号密码,建议大家用工具,手工比较烦琐。

  提醒:

  大型公司的网站应该找懂安全编程的高级程序员来进行,并且开发上线后,应该请专业公司进行安全性测试。以确保程序安全、可靠!

  4、旁注:

  我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。打个形象的比喻,比如您和我是邻居,我家很安全,而您家呢,却很容易进去偷东西。现在有个贼想入侵我家,他对我家做了探察、踩点,发现很难进入我家,那么这个贼发现你家和我家是邻居,通过您家就可以很容易进如我家了。他可以先进入你家,然后通过你家阳台进入我家。

  工具介绍:

  还是名小子的DOMIAN3.5不错的东西,可以检测注入,可以旁注,还可以上传!

  最后随便AD一下我的小站www.i3ss.cn是一个专业的UUSEE资源站

时间: 2024-10-16 05:26:09

站长朋友你的网站安全了吗的相关文章

电商圈最后冲刺阶段站长朋友应做好的几点

电商圈比赛从站长朋友参赛以来,从来就没有停止过激烈的竞争,"电商圈"这个词,从开始的无人问津,到现在的明争暗斗,从2011年的4月1号鸣锣开赛,一转眼两个多月过去了,到现在的6月22日,即将接近尾声,从中也看得出很多站长为电商圈比赛付出了很多,从网站收录,反向链接可以观察到,甚至很多站长是从新站开始做起的,虽然排名百名之外,但是我们也可以从中获得很多经验和做法. 电商圈比赛可以说验证了百度算法的变化莫测,能够在第一名保持的网站是不存在的,甚至第一页的变化还很大,这其中不仅有了站长朋友对

送给站长朋友的12个SEO小经验

一转眼,2011年的最后一个月了,蓦然回首,或酸或甜或苦或辣!想起我们这些小站长,白天拼命为网站多增加些高质量的内容,晚上则为了多一些高权重的外链而挑灯夜战.就这样,周而复始的做着自己的小站,目的就是希望小站能够早日发展起来.因此,我们忘记了疲惫,我们一直在赶"路"!是的,站长朋友们,辛苦了!在这年末之际,我们准备了12个SEO小经验,作为年末小礼物送给正在拼搏的站长朋友们,祝各位站长朋友年末愉快! 1,请不要在网页源代码中的任何一个位置,加入与网页内容不相关的关键词. 2,请不要在网

站长让自己的网站长期生存需要做哪些策划

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 现在各种各样的网站在互联网上层出不穷,一个网站要想长期生存也变得非常困难,网站的生存状态也让多数站长头疼,毕竟在那么多的站长之中能够稳定生产下去的10%还不到,能够收入满意的更是不足3%,也就是有90%以上的网站的最后都是要消亡的.那么应该怎么样让网站长期生存,怎么让新的站长进入这个圈子前能够给自己的网站一个好的发展与盈利成了问题的关键.这就

移动互联时代已来临 站长朋友你着急吗?

中介交易 SEO诊断 淘宝客 云主机 技术大厅 不知各位站长朋友你们有没有这样一种感触,当我们还沉浸在PC端互联网领域时,随着智能手机用户不断的增加,移动互联已经悄悄的进入我们的生活当中,或许当我们站长朋友发现机会来临时,移动互联早已被业界大佬占据.这时,广大的站长朋友,没能及时的把握住移动互联的机会,是不是有点着急呢? 在这里,笔者和大家共同学习下在大数据碰上移动互联时代的同时,我们中小企业的站长该怎样应对?位居互联网搜索领域的业界大佬,在他们进军移动客户端的搜索以及游戏.服务领域时,似乎对我

提升网站关键词排名容易被站长朋友们忽略的几个技巧

摘要: 对于百度开始严格控制竞价排名的消息不胫而走后,很多SEO优化工作中和我一样都心里暗暗地高兴,因为竞价排名少了,SEO优化的效果就会更加明显了!所以很多站长也一定会和我一样, 对于百度开始严格控制竞价排名的消息不胫而走后,很多SEO优化工作中和我一样都心里暗暗地高兴,因为竞价排名少了,SEO优化的效果就会更加明显了!所以很多站长也一定会和我一样,经常的光顾站长之家,希望能够从chinaz上了解更多的有关网站优化的知识,为此笔者结合自己的经验,来说说提升网站关键词排名容易被站长朋友们忽略的几

给还没有通过网站盈利的站长朋友建议

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 每个人建站的目的都不一定相同,有的是为了服务大家,有的是为了打名气,有的是为了建立一个圈子方便自己的朋友交流.有的直接为了赚钱等等-- 但是我想大部分能看到这篇文章的站长建站的目的应该都是为了网赚,通过建站给自己,给家人赚取更多生活的资本. 可是话说回来又有多少站长真正通过自己网站盈利可以养活一家人.许多站长耗费了许多精力,但是盈利很少,更多

新手站长如何尽快解决网站收录量少的问题

最近,有新手站长在我们SEO论坛发帖子反映新建的网站收录比较少的情况,网站的快照比较慢,对此,本人在A5站长网想向大家介绍一下,我是如何解决网站收录少和快照慢的问题,对于大家提高网站的权重有一定的帮助. 网站收录量少主要分为新站收录少和老站收录少的情况.下面我们就新站和老站收录问题分别谈谈具体解决办法. 新站之所以收录量少,究其原因主要有以下两点:1网站内容本身就比较少,域名从申请到审核时间也不长,因此,刚被收录的网站收录量比较少;2网站提交完成后,还处于搜索引擎的审核期,刚审核百度或者谷歌会对

站长分享:提升网站权重的三种SEO妙招

          当初出入互联网这行之时,遇到一位SEO高手,对本人曾有告诫:在SEO这行不是你如何去学习SEO,而是你怎么样去探索与实践新的有效方法.是的,这句话说得很好.           相信广大个人站长在对自己网站进行SEO优化过程当中,也是不断发现问题与解决问题.然而我们都往往忽视了一个重点,那就是我们没有朝着掌握自己在SEO当中独一无二的妙法的方向去发展.太多的个人站长做SEO,都只是照搬他人的方法,丝毫没有自己的创新与独到改变.这就往往造成自己的网站平庸无奇,排名也就普普通通.

站长应该避免的网站优化三类错误

随着百度算法的不断更新,现在越来越多的优化者都陷入了优化的怪圈,不停的为网站增加内容,不停的发布外链,不停的去进行问答,一个优化者每天早上8点到晚上24点,可谓是拼命的干活,但是每天拼命的去做这三项内容有用吗? 首先我们来看看网站优化错误的第一类:拼命的为网站增加内容.为网站增加内容固然是好事,但笔者要问一句优化者您这些内容是从何而来呢?是转载还是复制,是伪原创还是原创呢?这些都是网站优化的关键,诚然百度公布的说明中提出的是要增加用户体验,试问一句难道不停的为网站增加内容就是增加用户体验吗?笔者