网站安全与维护精编版
37页1、网站安全与维护,现代教育技术中心 吴飞杰 2005.12.8,目录,简单的入侵分析 平时该做些什么? 如何应对网络安全事件 几个小技巧,一、简单的入侵分析,首先还原一下可能的入侵思路:,通过搜索引擎找到带有特征字符的网站 判断CMS系统类型和版本 测试漏洞是否存在 利用漏洞攻击 留下后门 清除入侵的痕迹,1、技术层面的初步分析 以动力文章系统3.x为例,可能的入侵途径主要有以下三种: 注入:相关内容前面已经有专题讲座,这里不再重复了,可以参考 暴库:即数据库暴露,进而被下载。简单的检测方法就是访问http:/? /inc/conn.asp,如果出错信息中可以显示出数据库的路径,就存在这个漏洞 解决方法,把数据库扩展名改为asa。比如在上面这个例子中,数据库应改为adsfkldfogowerjnokfdslwejhdfsjhk.asa,上传:这是最近几次攻击被普遍利用的漏洞,已经流行了将近两年的攻击方式。相关的安全公告请访问 对于动力系统,最好删除Upfile_AdPic.asp,Upfile_Article.asp,Upfile_OrderPic.asp,Upfile_Photo.as
2、p,Upfile_Soft.asp,Upfile_SoftPic.asp文件或者打补丁。 补丁文件地址: ,2、心理层面的分析 所有的入侵者,归结起来无非这么几种: 无意识破坏 有些人在现实生活中不得志,就幻想通过网络使自己扬名立万,篡改他人网站主页,并打上自己的标记(如昵称,QQ号码,网址等)。这些人的水平一般不高,因为其入侵的目标是随机的,只是通过搜索引擎找到特定的有公开漏洞的系统,然后利用现成的工具进行攻击。这类入侵者防不胜防,不过只要平时安全意识稍微高一些,很容易阻止他们。 善意提醒 此类入侵者并不以破坏为目的,他们会通过和管理员联系或者留下警告页面来提醒管理员。这时切忌恼羞成怒,应用虚心的态度向对方求教,找出漏洞所在,积极进行修补。说不准在这个过程中还能结识一些真正的高手,有助于提高网站的安全性。 蓄意破坏 这种攻击最具破坏性,后果最严重。原因可能是不法分子有针对性的攻击,也可能网站成员的个人问题导致别人的报复。攻击者有明确的目标,其水平一般较高,一旦发生要特别注意应对。,两个被入侵站点的截图,首页被篡改的网站,随着网络技术的发展,网站管理员的工作早已不仅仅局限于简单的添加信
3、息。,二、平时该做些什么?,1、天天关注你负责的网站 把你管理的网站设为浏览器的首页,每天至少看三次你所管理的网站,残酷地说,管理员没有节假日,因为节假日恰恰是攻击的高发时段。 2、 经常关注程序提供商的官方网站或订阅其相关公告的RSS 负责任的开发商都有一个正规的官方网站,及时地公布最新的漏洞和相应的补丁,这也是选用网站系统的标准之一。 以下是常用CMS产品的官方网址 动力(动易) 风迅 乔客 NB文章系统 动网先锋 青创文章系统 ,3、定期备份数据库和供下载的文档 定期备份数据库和上传的文件,如果不是很经常更新,访问量不大,大概每周备份一次,反之每天一次,不要怕麻烦,这个制度很有必要,特别是要经常对外发布信息,提供资料下载的网站,更要做好这方面的工作。,此处以现代教育技术中心网站为例,其他网站的目录名称可能有些不同,4、经常用FTP登陆,查看上传目录下的文件格式 动力系统的上传目录有: UploadAdpic,UploadFiles,UploadPhotos,UploadSoft,UploadSoftPic,UploadThumbs 上传目录下不应该有asp,cer,cdx,com
4、,exe,bat之类的文件. 一般情况下,允许上传的文件格式有: 图片文件:JPG,GIF,BMP,PNG,PSD,WMF,PCX OFFICE文档:DOC,XLS,PPT,MDB 文本文件:TXT,RTF 多媒体文件:MPG,MP3,MIDI,WMA,WMV,WAV,AVI,RM,RMVB,RAM,ASF 压缩文件:RAR,ZIP,ISO,5、选用合适的CMS系统 选用的代码必须比较成熟,经过一段时间检验没有重大问题。代码书写规范,可读性高,方便二次开发或者修改。 尽量从官方网站下载,避免使用插件版,HACK版,修改版等,因为这些版本可能是由业余人士修改的,有些程序的安全性非常脆弱,前一段时间动网论坛的插件漏洞频出就说明了这一点。 经常关注官方网站的补丁发布,及时修改。 如果有必要,通读一遍代码,加深理解,寻找漏洞,至少做到了解每一个文件的具体作用。 这里推荐一个带漏洞搜索引擎的漏洞公布网址: bct.org/,6、强壮的密码 管理的帐号密码应与管理员个人常用的不同,以防他人从别处得到网站的密码。如果有多个管理员,要保证所有人的密码都是“健壮的”,即不能像“123456”这样容易猜测
《网站安全与维护精编版》由会员ahu****ng1分享,可在线阅读,更多相关《网站安全与维护精编版》请在金锄头文库上搜索。
独立基础施工方案[53页]
熙和大唐太阳山风电施工合同范本[60页]
生命工程备忘录[59页]
电力水泥钢铁化工企业名单[94页]
珠海市政工程竣工档案验收整理指南(试行上)[50页]
珠海市政工程竣工档案验收整理指南(试行下)[54页]
合理用药宣传手册(共64页doc)
单体药店制度兴佳艺(共78页doc)
医疗质量持续改进记录本(共73页doc)
医疗器械电路维修的基础知识和维修思路(共100页doc)
医院管理知识练习题(共154页doc)
医学思维导图(药理学)全套完整打印版(共65页doc)
制药用水系统验证(共51页doc)
制药企业全套检验记录(共96页doc)
值得终生珍藏的经过验证有特效的药方(共62页doc)
医药代表销售经验(共128页doc)
医药市场营销重点整理考纲(上海中医药大学自学考版)(共51页doc)
中药034(共70页doc)
向阳制药改扩建可行报告(共69页doc)
化学药品使用安全手册(1)(共95页doc)
2024-01-31 15页
2024-01-31 21页
2024-01-31 37页
2024-01-31 30页
2024-01-31 22页
2024-01-31 48页
2024-01-31 32页
2024-01-31 40页
2024-01-31 31页
2024-01-31 20页