网站常见问题

网站常见的安全漏洞有哪些

发布日期:2014-11-15 阅读次数:
    总的来说网站比较低级的漏洞有:1.SQl注入漏洞;2.目录遍历漏洞;3.文件上传漏洞;4.权限审阅漏洞;5.admin密码漏洞;6.旁注漏洞。
    下面就来简单的分析一下各各漏洞,及入侵和防入侵方法。
    首先说一下SQL注入漏洞,此类漏洞是人人皆知的漏洞,黑客可以利用该漏洞得到管理员的账号和密码,或者直接控制服务器。该漏洞目前在小型网站还比较多,尤其是学校网站里学生建设的一些网站。入侵此类漏洞只需要用一些SQl注入工具即可,这里推荐用:啊DSQL注入工具,网上也有使用教程,用这个工具菜鸟也能拿下几个网站。关于防止SQL注入我就不说了,网上的教程很详细。
    目录遍历漏洞,这个漏洞不常见,但是也是有的,该漏洞允许浏览者直接在浏览器里浏览和下载网站的文件,导致网站结构,网站文件,甚至数据库轻易的被黑客搞到。造成此类漏洞的原因是服务器管理员的疏忽。该漏洞入侵主要是得到数据库的地址,用下载工具下载,并得到管理员账号。防止漏洞的方法就是服务器管理员取消网站目录遍历的权限。
    文件上传漏洞,现在好多网站都支持会员注册,并且支持上传头像,或者上传其他文件,那么我们就可以利用这个特点上传一个webshell。该漏洞主要是对上传的文件格式要求不严造成的,目前此漏洞已经不常见,但是也有。只要严格审查上传的文件格式就可以防止该漏洞。
    权限审阅漏洞,我们知道一般人是不允许访问管理员操作页面的,于是有写网站就把管理员页面的连接去掉,只有知道连接的人才能进入页面,但是现在网上有很多工具能检查到你的管理员页面,直接用浏览器打开,奇迹出现了,没有提示让输入密码,直接可以操作了。这就是权限审阅的漏洞。这个漏洞也是我认为最低级的漏洞,造成这样漏洞的原因是网站建设者的疏忽,或者是水平不高造成的。当然这个漏洞不多见,但是绝对有,我见多好几个了。防止该漏洞就方法就是进入管理员页面时要检查是不是管理员的权限。
    admin密码漏洞,也不知道为什么,很多网站建设者都喜欢把默认管理员账号设成asmin,密码一般是admin、123456、111111等比较常见的密码。但是很多管理员并不去修改密码,下次你看见登陆页面时不妨试试,有可能就能登陆上去。防止这种漏洞方法就是及时修改密码,把密码设的难一些。
    关于旁注漏洞,就是说你的网站做的很好,几乎没有漏洞(真正没有漏洞是不可能的),但是你的网站还是让别人黑了,为什么呢?因为跟你一个服务器的其他网站漏洞太多了,黑客把服务器控制了还控制不了你的网站吗?这就是告诉我们,当我们发现一个网站天衣无缝的时候,去看看和它在同一个服务器上的网站有没有给你开后门。要防范旁注比较难,要不你自己用个服务器,要不就让其他网站做的好一点。
    这是我这一个月的学习总结的经验,当然是菜鸟级的。入侵一个网站第一是寻找漏洞,第二是入侵方法。