如何防御攻击网站?常见网站入侵手段及防御方法 _生活百科

上传入侵上传入侵便是通过上传文件来获得权限，针对有上传文件权限的网站实施，好比论坛可以上传附件、资讯站可以投稿上传图片，这些都可能为上传木马提供便利，上传木马以后，很多信息都会轻松暴露出来的。这个漏洞在网站源码中比较常见，被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高。
防御方法：
第三方开源代码要及时升级官方提供的程序补丁；注意对上传的文件进行限制，例如限制文件类型、文件尺寸等，同时要对上传文件以后存储的文件夹进行权限限制，好比图片存储的文件夹没必要保留脚本执行权限，去掉脚本执行权限及文件解压权限等。
【如何防御攻击网站?常见网站入侵手段及防御方法】

文章插图
暴库，也就是直接下载到数据库暴库主要是针对使用微软Access数据库的网站。很多入门菜鸟直接从网上下一个免费的程序源码上传上去就用了，黑客可以轻而易举的下载的数据库，因为数据库地址完全就是默认路径。暴库就是提交字符得到数据库文件，得到了数据库文件我们就直接有了站点的前台或者后台的权限了。
暴库方法:
比如一个站的地址为http://www.xxx.com/dispbbs.asp?boardID=7&ID=161，我门就可以把com/dispbbs中间的/换成%5c 如果有漏洞直接得到数据库的绝对路径用迅雷什么的下载下来就可以了，还有种方法就是利用默认的数据库路径 http://www.xxx.com/ 后面加上conn.asp，如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这里的/也要换成%5c)为什么换成%5c:因为在ASCII码里/等于%5c，有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了。如果暴出的数据库文件是以.ASP结尾的，这里可以在下载时把.ASP换成.MDB，这样就可以下载了。如果还下载不了，可能是网站做了防下载。
防御方法：
修改默认数据库路径；做.mdb的防下载处理；不要在页面直接显示错误信息。
SQL注入漏洞这个漏洞是现在应用最广泛，杀伤力也很大的漏洞，可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的，可以得到管理员的帐号密码等。比如这个网址 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的网站，我们可以手动在后面加上个and 1=1看看，如果显示正常页面，再加上个and 1=2看看，如果返回正常页面说明没有漏洞如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞，知道了站点有没有漏洞我门就可以利用了。
防御方法：
不要使用动态拼装的SQL语句，推荐使用参数化SQL语句；对接收的参数进行字符串长度验证；对单引号和双”-“、下划线、百分号等sql注释符号进行转义
XSS/CSRF跨站攻击Xss(Cross Site Scripting 跨站脚本攻击)/CSRF(Cross-site request forgery 跨站请求伪造)，它与著名的SQL注入攻击类似，都是利用了Web页面的编写不完善。SQL注入攻击中以SQL语句作为用户输入，从而达到查询/修改/删除数据的目的，而在Xss攻击中，通过插入恶意脚本，实现对用户游览器的控制，它允许恶意web用户将代码植入到提供给其它用户使用的页面中，这些代码包括HTML代码和客户端脚本，然后引导其他用户点击某链接或浏览页面，将document.cookie等信息传到指定服务器，然后攻击者就可以模拟该用户正常登录网站，窃取用户信息或敏感资料。
防御方法：
对cookie信息进行加密；尽量使用cookie的HttpOnly属性；对接收的用户输入进行长度验证；对接收的用户输入进行HTML转码
COOKIE欺骗COOKIE是你上网时由网站所为你发送的值记录了你的一些资料，比如IP，姓名什么的，几乎所有的网站都在使用cookie 。
那么怎样通过cookie欺骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了但是破解不出来密码 (MD5是加密后的一个16位的密码)，我们就可以用COOKIE诈骗来实现，把自己的ID修改成管理员的，MD5密码也修改成他的，有工具可以修改COOKIE，这样就答到了COOKIE诈骗的目的，系统以为你就是管理员了。
防御方法：
对COOKIE进行加密。
程序漏洞网站程序漏洞便是指程序代码自身的漏洞，好比你用dedecms没修改后台地址及admin账号，或者没有升级dedecms的补丁;或者用了破解的程序，这些程序自身的漏洞很致命，利用者知道漏洞后去搜索引擎查找一下，轻松找到数以百计的漏洞网站。