如何防范你的网站被黑?

核心提示：目前黑客攻进网站最常常使用的伎俩是SQL注进攻击，由于SQL注进是从正常的WWW端口访问，跟1般的Web页面访问没甚么辨别，所以目前市面的防火墙都不会对SQL注进发出警报。为了防范黑客通过SQL注进攻进网站，你可以依照以下的步骤操纵。

　　1、SQL注进攻击的防范

　　目前黑客攻进网站最常常使用的伎俩是SQL注进攻击，由于SQL注进是从正常的WWW端口访问，跟1般的Web页面访问没甚么辨别，所以目前市面的防火墙都不会对SQL注进发出警报。现在很多网站程序，由于未对用户输进数据的正当性进行判定，因此当你在IE地址栏中提交数据库查询代码时，例如输进www.labxw.com/displist.asp?id=xx">HTTP://www.labxw.com/displist.asp?id=xx'>HTTP://www.labxw.com/displist.asp?id=xx>www.labxw.com/displist.asp?id=xx">HTTP://www.labxw.com/displist.asp?id=xx and 1=1时返回正常，但是输进www.labxw.com/displist.asp?id=xx">HTTP://www.labxw.com/displist.asp?id=xx'>HTTP://www.labxw.com/displist.asp?id=xx>www.labxw.com/displist.asp?id=xx">HTTP://www.labxw.com/displist.asp?id=xx and 1=2时却返回出错信息，这就说明displist.asp文件存在着SQL注进漏洞。

　　 假设你的网站有这样的注进漏洞，黑客使用瑞士军刀、明小子旁注等软件，通过displist.asp注进点即可攻进你的网站，然后他上传ASP木马，在IE地址栏中运行该ASP木马，即可随便上传下载网站上的文件、篡改网页，由于在服务器端不能制止asp的运行，因此你还没法制止asp木马的运行。

　　为了防范黑客通过SQL注进攻进网站，你可使用枫叶防注3.5版，依照以下的步骤操纵：

　　1、上传枫叶防注3.5版

　　首先到http://www.labxw.com/link/downsoftware.htm下载枫叶防注3.5版，然后把紧缩包解压到1个目录中；再将该目录(包括里面所有文件)上传到服务器。

　　2、修改网站程序中的CONN.asp文件

　　在网站程序中找到CONN.asp文件(即数据库连接文件)；然后在枫叶防注3.5版中，找到并打开sqlin.asp文件，把sqlin.asp中代码全部复制到CONN.asp文件的尾部，这样网站中所有调用CONN的文件，都能防范注进攻击。

　　对网站中所有的CONN.asp文件都应当如此修改，最后把修改后的CONN.asp上传服务器。

　　3、修改需要防注的页面

　　检查网站程序，打开那些需要防注的页面(即含有数据库操纵的ASP文件)，然后在其头部加上 这1句，因而这些页面便可以防注了，最后把它们都上传到服务器。

　　提示：你的网站经过以上处理后，黑客就不能通过SQL注进攻进网站，上面的方法非常有效。

　　2、网站防黑其他技能

　　除上面先容的主要防黑措施之外，你还应当采取以下措施：

　　1、堵住数据库下载漏洞

　　为数据库起个无规律、非常规的名字，比如c26sksfln.mdb，把它放在几层目录下(如./labxw/lagq/laxw/)。不要在程序中写出数据库名。例如在conn.asp中含有DBPath=Server.MapPath("cmddb.mdb")这1句就很危险，由于1旦他人拿到conn.asp，网站数据库的名字和位置就1览无余了。

　　2、没有上传和论坛程序

　　网站中最好没有任何上传程序和论坛程序。建议你采取FTP上传、保护网页，不要安装asp的上传程序；假设asp上传文件必须保存，也应当进行身份认证。假设论坛支持文件上传，你应当在程序中设好上传文件的格式，直接在程序中锁定，只有图象和紧缩文件才能上传。

　　3、后台治理程序

　　不要在网页上显示后台治理程序的进口链接，以免黑客攻进网站后台治理程序。治理员的用户名和密码也不能过于简单，留意定期更换。建议平时删除后台治理程序，保护时再通过ftp上传，然后使用。

　　3、常常检查网站上是否是有asp木马

　　建议用雷客图ASP站长安全助手ASPSecurity 1.0 正式版，常常检查网站上是否是有asp木马。尽人皆知，假设黑客在你的网站中上传了asp木马，由于不知道该木马的文件名和位置，你要揪出它们还真不轻易，现在教你1招，就是使用ASPSecurity，该软件可以帮你快速揪出asp木马，操纵步骤以下：

　　1、上传到服务器

　　首先到http://www.labxw.com/link/downsoftware.htm下载ASP站长安全助手ASPSecurity 1.0 正式版，解紧缩下载包得到1个目录，里面有很多ASP文件；然后把该目录全部上传到服务器；

　　2、登陆ASPSecurity后台

　　在浏览器地址栏输进你的网站地址/ ASPSecurity所在目录/index.asp，然后用治理员密码admin888登陆，进进后台后首先修改admin888登陆密码、并记住新密码；

　　3、查找asp木马

　　 接下来点击“查找asp木马”，在右窗口检查路径中输进\，点“开始检查”，检查全部网站是否是隐躲有asp木马，请耐心等待，假设网站asp文件未几，检查结果很快就会出来，软件会列出所有可疑文件，逐1 唐山网站建设www.fw8.net

评论加载中... 内容： 评论者： 验证码：