企业网站建设中应注意的安全问题

2022-11-09 11:46 实用知识
企业的网站要注意以下方面的安全,以防被入侵;

[div][div]

网站程序中需要注意的问题;

[div][div]

1.找到注入,注意数据库用户权限和站库是否相同。

[div][div]

2.去找XSS。最近很流行盲打。反正我们的目的是进入后台。

[div][div]

3.寻找上传,一些可以上传的页面,比如应用好友链,会员头像,以及一些敏感页面等。注意检查认证方式是否可以绕过,注意服务器的分析特性,比如典型的IIS6.0,Apache等。

[div][div]

4.找编辑器,比如典型的ewebeditor,fckeditor等。

[div][div]

5.找phpmyadmin之类的管理程序,如何为网站优化公司排名,试试弱密码,或者找它的漏洞。

[div][div]

6、百度、谷歌搜索程序开放漏洞。

[div][div]

7.猜猜文件。如果我们知道一个文件是admin_login.php,可以试试admin_add.php和admin_upload.php文件是否存在,或者Google一下站点:cnseay.com inurl:edit等。很多时候我们可以找到一些敏感的文件,然后看看能不能验证权限或者绕过验证。这就像冰峰的高级语法。

[div][div]

8.记得在需要对数据库进行成员注册、修改、删除、评论等操作时,加上单引号之类的,检查是否有插入、更新等类型的注入。

[div][div]

9.登录后,会员或低权限管理可以抓取数据包并进行分析,并尝试修改超级管理员密码以提高权限。

[div][div]

10.对于平时有下载功能的站,我们可以尝试修改URL文件名,看看是否可以下载站点敏感文件,比如数据库配置文件。如果无法外接数据库,可以尝试用数据库密码登录后台,优化推广SEO,或者下载上传,登录验证等文件进行代码审核。

[div][div]

1.备份文件和后门。主站的一些子目录下有分站。比如我们可以尝试等待压缩文件的存在,可能是分站的源代码。还有一些像这样的站,一般都是老站,老站一般比较好坐。还有数据库备份,前辈后门等。这些目录中的具体内容取决于您的字典。

[div][div]

12,0day漏洞,不管是别人给你的,还是自己挖的,总之是管用的。

[div][div]

服务器中的注意事项:

[div][div]

1.通常先扫描服务器开放的端口,再考虑对策。

[div][div]

2.常见的解析漏洞,如IIS6.0、Apache、nginx/IIS7.0(php-fpm)解析漏洞等。,以及cer,asa等解析,。htaccess文件解析配置等。

[div][div]

3.弱口令和everyone权限,先扫描服务器开放的端口,比如FTP对应21,MSSQL对应1433,MYSQL对应3306,remote desktop对应3389,Oracle对应1521等。平时可以多收集一些字典,有时候效果也不错(通常cain抽鼻子的时候,经常能闻到别人不断扫描的味道……很疼)。

[div][div]

4.溢出。这取决于服务器使用的系统补丁和软件等。,如FTP等工具。这里就不详细解释了。

[div][div]

5.对于一些服务器管理程序,如tomcat,jboss等。,这在大中型站点服务器中很常见。

[div][div]

6、IIS、apache等漏洞,这个平时要多注意。

[div][div]

7、目录浏览,服务器配置不当,可以直接浏览目录。

微信与项目经理沟通

解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流

阅读
上一篇:企业网站需求分析全过程,超级详细!
下一篇:如何构建网站导航的布局?