模板建站是黑客掛馬和黑鏈的重災區(qū)，那么，他們是怎樣入侵模板網(wǎng)站的呢？網(wǎng)站建設(shè)常見漏洞有哪些？需要做哪些防范措施？

   1.明文傳輸

   問題描述:系統(tǒng)用戶密碼保護不足.攻擊者可以使用攻擊工具從網(wǎng)絡(luò)中竊取合法用戶密碼數(shù)據(jù).

   防范建議:傳輸密碼必須加密.

   注意:所有密碼都是加密的.使用復雜加密.不要使用base64或md5.

   2. SQL注入

   問題描述:攻擊者使用SQL注入漏洞,可以獲取數(shù)據(jù)庫中的各種信息,如:密碼管理后臺,從而提取數(shù)據(jù)庫(庫)的內(nèi)容.

   防范建議:過濾并驗證輸入?yún)?shù).使用黑白名單方法.

   注意:過濾并驗證系統(tǒng)中的所有參數(shù).

   3.跨站點腳本攻擊

   問題描述:在沒有驗證輸入信息的情況下,攻擊者可以巧妙地將惡意指令代碼注入網(wǎng)頁.這種代碼通常是JavaScript,但事實上,它還可以包括Java,VBScript,ActiveX,Flash或普通HTML.

   防范建議:過濾并驗證用戶輸入. HTML實體編碼輸出.

   注意:過濾,驗證,HTML實體編碼.覆蓋所有參數(shù).

4.文件上傳漏洞

   問題描述:沒有文件上傳限制,可能是上傳的可執(zhí)行文件或腳本文件.

   防范建議:嚴格驗證上傳的文件,防止上傳asp,aspx,asa,PHP,JSP等危險腳本.

   5.披露敏感信息

   問題描述:系統(tǒng)公開內(nèi)部信息,如:網(wǎng)站的絕對路徑,網(wǎng)頁源代碼,SQL語句,中間件版本,程序異常等信息.

   防范建議:過濾用戶輸入的異常字符.阻止一些錯誤回顯,例如自定義404,403,500等.

   6.命令執(zhí)行漏洞

   問題描述:腳本程序調(diào)用如PHP系統(tǒng),exec,shell_exec等.

   防范建議:補丁,系統(tǒng)需要在命令內(nèi)執(zhí)行才能嚴格限制.

   7. CSRF(跨站請求偽造)

   問題描述:在不知情的情況下使用登錄用戶執(zhí)行操作的攻擊.

   防范建議:添加令牌驗證.時間戳或圖片驗證碼.

   8. SSRF漏洞

   問題描述:服務器請求偽造.

   防范建議:修補或卸載不需要的軟件包

   9.默認密碼和弱密碼

   問題描述:因為默認密碼,弱密碼很容易猜到.

   防范建議:加強密碼強度不適用于弱密碼

   注意:請勿對密碼使用常用字詞,例如root123456,admin1234,qwer1234,pssw0rd等.

   當然,這些都不是所有可能存在的漏洞,企業(yè)網(wǎng)站在運營過程中必須經(jīng)常進行測試和維護,以確保網(wǎng)站的安全.