鑒于前一段時間攜程網(wǎng)的事情,我們沈陽網(wǎng)站建設(shè)公司就為大家總結(jié)出了一些網(wǎng)站的防黑攻略,希望引起大家的警惕。
1、防止數(shù)據(jù)庫下載漏洞
可以為數(shù)據(jù)庫起個無規(guī)律、非常規(guī)的名字,比如ghhj@#$%.mdb,把它放在幾層目錄下(如./seo/seodir/seodate/)。不要在程序中寫出數(shù)據(jù)庫名。如在conn.asp中含有DBPath=Server.MapPath("seo/seodir/seodate/ghhj@#$%.mdb")這一句暴露出數(shù)據(jù)庫的名字地址了,一旦黑客拿到conn.asp,網(wǎng)站數(shù)據(jù)庫全部信息將一覽無余。
2、注入攻擊是黑客常用的攻擊手段。
注入攻擊通常通過給站點數(shù)據(jù)庫提交不良的數(shù)據(jù)或查詢語句來實現(xiàn),很可能使數(shù)據(jù)庫中的紀錄遭到暴露,更改或被刪除。大家可以baidu搜索關(guān)鍵詞:"SQL通用防注入系統(tǒng)3.1β版" 找到防止注入攻擊程序,下載裝上,免受注入攻擊的騷擾。
3、后臺管理程序
不要把后臺管理頁面放在外頁的位置,這樣會引起黑客攻擊的欲望,黑客可以毫無吹灰之力對網(wǎng)站后臺管理發(fā)起攻擊。管理員的用戶名和密碼不要太過簡單,最好拼音加數(shù)字加符號,密碼在10以上。后臺要做好檢測程序,防止防止'or''='or'暴庫入侵網(wǎng)站后臺。如果網(wǎng)站還是無法防止黑客入侵后臺,就只一個方法,把后臺目錄直接刪除,維護時再通過ftp上傳后臺程序,然后使用,黑客總不會天天關(guān)注你網(wǎng)站吧~~
4、沒有上傳和論壇程序
網(wǎng)站中不要有任何上傳程序和論壇上傳程序。不要安裝asp的上傳程序;如果論壇支持文件上傳,你要在程序中設(shè)好上傳文件的格式,要進行身份認證才能使用,格式只有圖象和壓縮文件才能上傳。(前些天我的一個行業(yè)網(wǎng)站就是因為放至論壇的上傳程序,被黑客利用,成功提權(quán)入侵,所以提醒大家不到萬一千萬不要有上傳功能。)