宜天学堂 Eskying Serve 提供网站策划、建设、空间域名、备案服务及技术支持一站式服务 , 2009年至今已成功服务1200余家客户, 我们坚持与客户员工一起成长
-宜心服务 -常见问题 -系统帮助 -支付方式 -客户答疑 -宜天学堂
网站建设中如何降低网站被挂风险
2021-05-20 09:43:23  1432

普通用户可能感觉不到,但站长朋友肯定知道,如果一个网站放置了一段时间,不管它是什么,当你有一天去看它的时候,你可能会发现它已经被暂停了。事实上,网站被挂起是一种普遍现象,尤其是基于CMS开发的网站。网站一旦挂载,会给访问者和网站本身带来一些麻烦,如:

1、网页上会出现一些恶意脚本,可能弹出大量垃圾广告弹出窗口,跳转到无关甚至非法的网站,插入大量链接,页面死圈等,降低访问体验;

2、影响网站SEO效果,降低百度排名,网站很容易被降权等;

3、非法修改网站源代码,甚至删除网站程序文件,造成数据丢失。

上面提到的这些有害后果,其实网站一旦挂载,清理也是一件非常麻烦的事情,因为黑客已经破坏了你网站的源文件,而且不止一个地方插入了恶意代码。

那么这些黑客是如何将恶意代码植入我们的网站程序的呢?

主要漏洞如下:

1、文件上传漏洞:如上传页面未验证上传文件的格式,导致上传动态脚本(如直接上传PHP文件),上传页面未验证权限,导致非法用户可以上传文件等;

2、表单数据未过滤漏洞:例如,用户在发布文章时,可以插入JS和CSS代码,这足以植入恶意脚本,这些JS和CSS代码将在页面呈现时运行;

3、SQL注入漏洞:存在SQL注入点,黑客可以入侵数据库进行操作,严重时甚至删除数据库;

4、管理后台弱密码漏洞:有些管理后台账号密码太简单(如admin),一猜,直接登录后台,怎么操作就怎么操作

5、在发现该漏洞后,利用该漏洞,将恶意代码植入到web程序中,使得用户在访问网页后可以加载这些恶意代码,从而达到攻击者的目的。

现在我们知道了黑客挂马的一般过程,如何避免网站挂马?结合我十多年的运行维护经验,提出一些建议供大家参考。

1、现在市面上的CMS源代码是公开的,所以0day中存在很多漏洞。漏洞公之于众后,只要找到这个CMS建的站,基本上可以攻击成功,所以范围很广。但如果我们的程序是自行开发的,攻击者不知道我们的源代码逻辑,攻击将非常困难。如果是基于CMS的网站,一定要注意官方补丁,及时修复。

2、在web开发领域,我们一直强调用户的任何输入都是不可信的。在得到用户提供的数据后,我们必须进行必要的验证(格式是否正确)和过滤(过滤一些敏感字符)。

3、过滤掉这些内容:JS标签和代码、CSS标签和代码、HTML标签中的各种事件、单引号、双引号和SQL关键字;

4、这是非常重要的。即使攻击者获得上载漏洞,我们也只允许将其上载到特定目录。如果其他目录没有写权限,它们将不会被感染。如果他们没有执行权限,上传的动态脚本将不会被执行。

5、背景地址更改为无法猜测的地址。密码必须设置得更复杂。

6、定期备份网站,然后做木马查杀,现在杀毒软件可以查杀网页木马。

相关资讯
咨询

0931-4109028
7*24小时客服服务热线

关注官方微信