| 关键词: 漏洞 网站 上传 代码 我们 可以 恶意 攻击者 文件 脚本 |
网站一旦挂载,会给访问者和网站本身带来一些麻烦,如: 1、网页上会出现一些恶意脚本,可能弹出大量垃圾广告弹出窗口,跳转到无关甚至非法的网站,插入大量链接,页面死圈等,降低访问体验; 2、影响网站SEO效果,降低百度排名,网站很容易被降权等; 3、非法修改网站源代码,甚至删除网站程序文件,造成数据丢失。 那么这些黑客是如何将恶意代码植入我们的网站程序的呢? 主要漏洞如下: 1、文件上传漏洞:如上传页面未验证上传文件的格式,导致上传动态脚本(如直接上传PHP文件),上传页面未验证权限,导致非法用户可以上传文件等; 2、表单数据未过滤漏洞:例如,用户在发布文章时,可以插入JS和CSS代码,这足以植入恶意脚本,这些JS和CSS代码将在页面呈现时运行; 3、SQL注入漏洞:存在SQL注入点,黑客可以入侵数据库进行操作,严重时甚至删除数据库; 4、管理后台弱密码漏洞:有些管理后台账号密码太简单(如admin),一猜,直接登录后台,怎么操作就怎么操作 5、在发现该漏洞后,利用该漏洞,将恶意代码植入到web程序中,使得用户在访问网页后可以加载这些恶意代码,从而达到攻击者的目的。 现在我们知道了黑客挂马的一般过程,如何避免网站挂马?结合我十多年的运行维护经验,提出一些建议供大家参考。 1、现在市面上的CMS源代码是公开的,所以0day中存在很多漏洞。漏洞公之于众后,只要找到这个CMS建的站,基本上可以攻击成功,所以范围很广。但如果我们的程序是自行开发的,攻击者不知道我们的源代码逻辑,攻击将非常困难。如果是基于CMS的网站,一定要注意官方补丁,及时修复。 2、在web开发领域,我们一直强调用户的任何输入都是不可信的。在得到用户提供的数据后,我们必须进行必要的验证(格式是否正确)和过滤(过滤一些敏感字符)。 3、过滤掉这些内容:JS标签和代码、CSS标签和代码、HTML标签中的各种事件、单引号、双引号和SQL关键字; 4、这是非常重要的。即使攻击者获得上载漏洞,我们也只允许将其上载到特定目录。如果其他目录没有写权限,它们将不会被感染。如果他们没有执行权限,上传的动态脚本将不会被执行。 5、背景地址更改为无法猜测的地址。密码必须设置得更复杂。 6、定期备份网站,然后做木马查杀,现在杀毒软件可以查杀网页木马。 |
| 本文出处: https://www.toutiao.com/a7043594862049886727/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|