常见的网站防护“漏洞”与预防措施-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > WEB安全 > 常见的网站防护“漏洞”与预防措施

常见的网站防护“漏洞”与预防措施

小墨安全管家 2019-05-22 15:57 WEB安全 89 ℃
DDoS防御
现在的互联网不仅充斥着病毒、木马等各种恶意代码,而且也有非常多的黑客攻击和入侵行为,几乎是让人防不胜防。其实,在很多情况下并不是快速发展的黑客入侵工具和技术导致了如此的严峻形势,倒恰恰是我们网管的安全防护措施不到位而造成的(甚至是疏忽大意),很多人为的“漏洞”轻易就变成黑客入侵过程中的“跳板”。正所谓“千里之堤,毁于蚁穴”,从目录遍历、使用默认的后台和账号密码到不采取任何数据库的防下载措施,再从注入漏洞到0Day漏洞……这一个个看似简单的“小”漏洞的背后,其实都极有可能成为网站被入侵的罪魁祸首,在此与大家共享七种比较常见的网站防护漏洞与对应的预防措施。
 
 
网站防护
 
【漏洞一】目录遍历漏洞——暴露敏感文件信息
严格而言,“目录遍历”并不是一个系统漏洞,它只是网站管理员对于相关的文件目录权限设置过高而引起的。但是,如果一个网站由于在不经意间存在着目录遍历漏洞的话,黑客就会很容易通过在网站的各级目录间的跳转来寻找敏感文件,像数据库连接文件conn.asp(或者是config.asp等配置文件)中就会保存有网站的数据库名称、路径、登录账号和密码等核心信息,甚至是整个网站的备份压缩数据包都有可能被下载。
 
【漏洞二】网站管理入口、账号和密码都“默认”的漏洞——被非法轻易进入后台
有些网站管理员为图日常进入后台管理的方便,喜欢在网站首页的底端加上“管理入口”或“管理员登录”之类的链接,殊不知此举几乎是等价于饮鸩止渴——黑客直接省略掉了查找网站后台的麻烦!如果我们在百度中搜索“管理入口”或“管理员登录”关键词的话,很容易找出不少存在此类安全漏洞的网站后台登录链接,点击之后就会打开网站后台的管理登录界面。
 
【漏洞三】数据库不做任何伪装隐藏处理的漏洞——被下载窃取账户信息
曾经发生的CSDN、人人网、天涯、新浪微博和腾讯QQ等若干海量数据库被下载的最大互联网泄密事件,给所有的网站管理员敲响了安全防护的警钟,尤其是网站后台服务器上所保存的用户信息数据库。如果网站的数据库被黑客查找到并非法下载的话,即使其中所保存的用户账号密码是经MD5加密的,造成的影响也几乎是无法衡量的——密码被解密、注册用户的隐私信息(比如手机号、工作单位等)被公布、经济造成损失。
 
漏洞预防措施最常见的做法是将数据库进行各种伪装隐藏,而且是多种方式的结合效果会更好些。比如:把网站数据库存放到不容易被猜解到的深层目录中,再就是修改数据库名称(甚至是扩展名),最常规的做法是在数据库名称前面添加“#”、“&”和“$”之类的特殊字符,对于防止数据库被下载也具有一定的效果。在做好这些最基本的防下载措施之后,我们网站管理员最好是自己进行尝试下载,看是否能够成功。另外,我们也可以对数据库进行有条件访问的限制和加密等。


DDoS防御

当前位置:主页 > WEB安全 > 常见的网站防护“漏洞”与预防措施

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119