论空姐网网站的安全性问题

崛起3

自从人类进入互联网之后，伴随着互联网的诞生是愈演愈烈的网络安全挑战。
网络安全是一个永恒的话题，它伴随人类的诞生而诞生，伴随着人类的衰落而灭亡。只要人类、互联网存在一天，互联网的威胁也就存在一天。网络安全也就有存在的意义和价值。作为一个优秀的Adminstor，应该时时刻刻注意网络及其网站的安全。网站是计算机、服务器的门户，它的安全与否不仅关系到该网站的收益也关系到承载该网站的计算机、服务器的安全。
空姐网作为全中国人气相当旺的这么一个网站，其安全性当然至关重要。做网站的第一大忌就是全面照搬别人写的网站程序。别人写的网站程序虽然简单，直接download，然后ctrl+c就省去了大量的时间。这样的网站通常是不安全的，因为源代码作者再编写代码时其巨大的工作量使其没有时间或者精力去顾及安全性，他们往往只是专注于程序代码的设计与编写。一个网站的开发绝对不比一个程序的开发要简单，有过程序开发的朋友应该是清楚的，并且对于网站的攻击，一般是先基于网站模板的攻击，整体了解了此类网站的共有漏洞后才去网络搜寻这样的目标，那么如何去搜寻这样的目标呢？现在网站的开发者们在开发完毕之后都将版权写于页面的底部，都以"Powered by ......."为一般格式。而从官网上下载网站模板的众多管理员们下载后都因为疏忽大意而忘记将版权信息擦除，导致成为黑x们下手的目标

版权信息

第二大忌是下载后的网站不更改数据库地址与管理页面还有管理密码，导致数据库被下载。数据库本身是个文件，所以被下载也不是什么稀奇的事情。不过现在的数据库文件名里有特殊字符"#"防止下载，但是这个很容易就能被突破。还有一种方法就是将数据库的".mdb"换成".asp"也能防下载，这个防范措施比较有效，所以对数据库的更名、存放路径的变更以及更改数据库后缀名是非常必要的。

第三大忌就是过分迷信所谓的"sql通用防注入程序"。在经历了种种被x的悲剧后，admin们终于认识到了网站安全的重要性，也随着这股潮流，一款"sql通用防注入程序"给迷茫的admin们带来了一丝希望。经测试，这款程序确实有效。它就是针对admin编写代码时对输入框过滤不严造成给黑x们下手的机会而诞生的。众多admin们以为碰见了救星，想当然地以为有了这款程序就可高枕无忧了。令这些admin们没想到的是许许多多的网站并未倒在自身的漏洞中，而恰恰倒在了这款被认为是"救星"的软件之中。这款"sql通用防注入程序"本身就存在一个极其严重的数据库插马漏洞，由于该程序在处理注入信息时对提交的数据并未进行严格的过滤，致使黑x可以将一句话马提交到数据库中，而该数据库有是以".asp"为后缀名的文件，有了马后，黑x直接用该文件操纵目标主机。也正是由于这个原因，开发此工具的公司为此蒙受了巨大的损失，这款程序也就停止了研发。

附录:网站常见的漏洞:
1.数据库下载漏洞；解决方法:更改数据库路径
2.上传漏洞，主要是因为过滤不严；解决办法:参考网上加强过滤
3.数据库插马漏洞；解决办法:加强过滤
4.EWebEditor漏洞，这本来是开发者方便admin更改网站一些内容的工具，但由于漏洞太多而广受诟病；解决方法:删除EWebEditor文件夹
5."'or'='or'"万能密码漏洞，数据库判断语句编写不严的原因；解决方法:过滤掉“'”和"=";
6.管理漏洞:没有更改管理员密码或者太简单、管理页面隐藏不深；解决方法:更改一个复杂一点的密码；
7.跨站漏洞:输入的地方过滤不严；解决方法:加强过滤；


本人新手一个，初来乍到，还请多多关照，帖子写的不咋地，就是想探讨一下技术，给诸位管理员些许建议。求论坛群主 飞不过沧海 姐别给封ID就行。

bestwc

你先把administrator的拼法记住吧。

什么时候懂得自己抓bug了再喊自己“安全工程师”，这之前随便用别人的程序教程到处挂马充其量是个"script boy"。或者你先搞懂空姐用的什么操作系统吧。

好意也好，叫嚣也罢，楼主自重。

模特q2774197309

支持。。。。。。。。。。。。

xue_tao

我个人认为只要密码不要与其他网站或银行的一样，那安全性没有多大问题。如果担心隐私泄露的话，那您可以不输入真实资料和头像。我个人觉得放上网站的都是能公开的资料，所以也没太大问题。不知道我的意见是否正确。

longsky

擦，变技术论坛了