致力于网站建设和网站推广服务
发表时间: 2019-10-24 11:14:21
浏览:
模板建站是黑客挂马和黑链的重灾区,那么,他们是怎样入侵模板网站的呢?网站建设常见漏洞有哪些?需要做哪些防范措施?
1.明文传输
问题描述:系统用户密码保护不足.攻击者可以使用攻击工具从网络中窃取合法用户密码数据.
防范建议:传输密码必须加密.
注意:所有密码都是加密的.使用复杂加密.不要使用base64或md5.
2. SQL注入
问题描述:攻击者使用SQL注入漏洞,可以获取数据库中的各种信息,如:密码管理后台,从而提取数据库(库)的内容.
防范建议:过滤并验证输入参数.使用黑白名单方法.
注意:过滤并验证系统中的所有参数.
3.跨站点脚本攻击
问题描述:在没有验证输入信息的情况下,攻击者可以巧妙地将恶意指令代码注入网页.这种代码通常是JavaScript,但事实上,它还可以包括Java,VBScript,ActiveX,Flash或普通HTML.
防范建议:过滤并验证用户输入. HTML实体编码输出.
注意:过滤,验证,HTML实体编码.覆盖所有参数.
4.文件上传漏洞
问题描述:没有文件上传限制,可能是上传的可执行文件或脚本文件.
防范建议:严格验证上传的文件,防止上传asp,aspx,asa,PHP,JSP等危险脚本.
5.披露敏感信息
问题描述:系统公开内部信息,如:网站的绝对路径,网页源代码,SQL语句,中间件版本,程序异常等信息.
防范建议:过滤用户输入的异常字符.阻止一些错误回显,例如自定义404,403,500等.
6.命令执行漏洞
问题描述:脚本程序调用如PHP系统,exec,shell_exec等.
防范建议:补丁,系统需要在命令内执行才能严格限制.
7. CSRF(跨站请求伪造)
问题描述:在不知情的情况下使用登录用户执行操作的攻击.
防范建议:添加令牌验证.时间戳或图片验证码.
8. SSRF漏洞
问题描述:服务器请求伪造.
防范建议:修补或卸载不需要的软件包
9.默认密码和弱密码
问题描述:因为默认密码,弱密码很容易猜到.
防范建议:加强密码强度不适用于弱密码
注意:请勿对密码使用常用字词,例如root123456,admin1234,qwer1234,pssw0rd等.
当然,这些都不是所有可能存在的漏洞,企业网站在运营过程中必须经常进行测试和维护,以确保网站的安全.