回覆列表
  • 1 # web開發小a

    網站被掛碼一般是被 xss攻擊 ,sql注入攻擊(這是網頁端)。

    又或者是伺服器存在的安全問題導致的問題。

    所以網站建設中需要保證伺服器的安全,web許可權的控制,php安全模式的開啟(如果語言是php開發),其次就是網站程式碼中需要注意的,資料庫操作都做預載入防止sql注入,入庫的資料都做一些惡意標籤的剔除或者轉義,防止惡意js程式碼注入。

    如果是使用一些開源搭建的網站,要注意實時更新軟體釋出的補丁或者問題修復的升級

  • 2 # 網路圈

    一般使用者可能沒有感覺,但站長朋友肯定知道,如果一個網站放置一段時間不管它,等某一天你再去看它時,發現它可能都被掛馬了。其實網站被掛馬是常見現象,特別是基於CMS開發的網站。

    網站一旦被掛馬,就會給訪客和網站自身帶來一些麻煩,比如說:

    網頁上會存在一些惡意指令碼,可能會彈出很多垃圾廣告彈窗、跳轉到不相關甚至是非法的網站上、插入大量連結、網頁死迴圈等,降低了訪問體驗;

    原網站內容被非法篡改,網站面目全非;

    影響網站SEO效果,降低百度等排名,網站極容易被降權等;

    上面講的這些危害後果,其實網站一旦被掛馬後,清理也是很麻煩的一件事,因為駭客已經破壞了你網站的原始檔,而且不止一處插入了惡意程式碼。

    那這些駭客是如何將惡意程式碼植入我們網站程式中的呢?無非是這幾步:

    1、駭客尋找網站漏洞並利用

    這裡的漏洞主要有這些:

    檔案上傳漏洞:比如上傳頁面沒有對上傳檔案格式做驗證導致上傳了動態指令碼(如直接上傳了php檔案),再者是上傳頁面沒有做許可權驗證導致非法使用者也能上傳檔案等;

    表單資料未過濾漏洞:比如使用者在發表文章時,可以插入JS、CSS程式碼,這樣就足以植入惡意指令碼,頁面渲染時就會執行這些JS、CSS程式碼;

    SQL注入漏洞:存在SQL注入點,駭客可以入侵資料庫進行操作,嚴重的還能刪庫;

    管理後臺弱口令漏洞:一些管理後臺帳號密碼過於簡單(比如 admin),一猜就中,直接登入進入後臺,想怎麼操作就怎麼操作 ...

    2、惡意程式碼植入

    找到漏洞後就可以利用,然後在網頁程式中植入惡意程式碼,這樣使用者訪問到頁面後就會載入到這些惡意程式碼,攻擊者的目的也就達到了。

    既然我們知道駭客掛馬的大致流程,那如何避免網站被掛馬呢?結合我十幾年的運維經驗整理了一些建議供大家參考:

    1、網站建設時請儘可能不要選擇CMS

    現在市面上的CMS原始碼都是公開的,所以0day漏洞也很多。漏洞公開後,大家只要找到是這種CMS建的站,基本上都能攻擊成功,所以波及範圍較廣。

    但如果我們的程式是自主開發的,那攻擊者不知道我們的原始碼邏輯,攻擊難度會很大。如果是基於CMS建的網站,一定要留意官方釋出的補丁及時修復。

    2、使用者提交的資料做好過濾

    在WEB開發領域,我們一直強呼叫戶的任何輸入都是不能相信的,我們在拿到使用者提供的資料後務必要做必要的核驗(格式是否正確)和過濾(過濾一些敏感字元)。我的建議是:

    資料型別強制轉換;

    過濾掉這些內容:JS標籤及程式碼、CSS標籤及程式碼、HTML標籤中的各類事件、單引號、雙引號、SQL關鍵字;

    3、原始碼目錄及檔案許可權嚴格控制

    這個是很重要的,既使攻擊者拿到了上傳漏洞,但是我們只允許它上傳到特定目錄,其它目錄沒有寫許可權,那就感染不了,如果沒有執行許可權,那上傳的動態指令碼也是無法執行的。

    4、後臺使用複雜口令

    後臺地址改成無法猜到的地址,密碼一定要設得複雜點。

    5、定期對站點進行木馬查殺

    定期把站點備份好,然後做木馬查殺,現在防毒軟體是可以查殺WEB木馬的。

  • 中秋節和大豐收的關聯?
  • 曾經號稱“大沙發”的日產天籟,換代後表現到底如何?