企业网站建设中应注意的安全问题

网站程序中需要注意的问题；

[div][div]

1.找到注入，注意数据库用户权限和站库是否相同。

[div][div]

2.去找XSS。最近很流行盲打。反正我们的目的是进入后台。

[div][div]

3.寻找上传，一些可以上传的页面，比如应用好友链，会员头像，以及一些敏感页面等。注意检查认证方式是否可以绕过，注意服务器的分析特性，比如典型的IIS6.0，Apache等。

[div][div]

4.找编辑器，比如典型的ewebeditor，fckeditor等。

[div][div]

5.找phpmyadmin之类的管理程序，如何为网站优化公司排名，试试弱密码，或者找它的漏洞。

[div][div]

6、百度、谷歌搜索程序开放漏洞。

[div][div]

7.猜猜文件。如果我们知道一个文件是admin_login.php，可以试试admin_add.php和admin_upload.php文件是否存在，或者Google一下站点:cnseay.com inurl:edit等。很多时候我们可以找到一些敏感的文件，然后看看能不能验证权限或者绕过验证。这就像冰峰的高级语法。

[div][div]

8.记得在需要对数据库进行成员注册、修改、删除、评论等操作时，加上单引号之类的，检查是否有插入、更新等类型的注入。

[div][div]

9.登录后，会员或低权限管理可以抓取数据包并进行分析，并尝试修改超级管理员密码以提高权限。

[div][div]

10.对于平时有下载功能的站，我们可以尝试修改URL文件名，看看是否可以下载站点敏感文件，比如数据库配置文件。如果无法外接数据库，可以尝试用数据库密码登录后台，优化推广SEO，或者下载上传，登录验证等文件进行代码审核。

[div][div]

1.备份文件和后门。主站的一些子目录下有分站。比如我们可以尝试等待压缩文件的存在，可能是分站的源代码。还有一些像这样的站，一般都是老站，老站一般比较好坐。还有数据库备份，前辈后门等。这些目录中的具体内容取决于您的字典。

[div][div]

12，0day漏洞，不管是别人给你的，还是自己挖的，总之是管用的。

[div][div]

服务器中的注意事项:

[div][div]

1.通常先扫描服务器开放的端口，再考虑对策。

[div][div]

2.常见的解析漏洞，如IIS6.0、Apache、nginx/IIS7.0(php-fpm)解析漏洞等。，以及cer，asa等解析，。htaccess文件解析配置等。

[div][div]

3.弱口令和everyone权限，先扫描服务器开放的端口，比如FTP对应21，MSSQL对应1433，MYSQL对应3306，remote desktop对应3389，Oracle对应1521等。平时可以多收集一些字典，有时候效果也不错(通常cain抽鼻子的时候，经常能闻到别人不断扫描的味道……很疼)。

[div][div]

4.溢出。这取决于服务器使用的系统补丁和软件等。，如FTP等工具。这里就不详细解释了。

[div][div]

5.对于一些服务器管理程序，如tomcat，jboss等。，这在大中型站点服务器中很常见。

[div][div]

6、IIS、apache等漏洞，这个平时要多注意。

[div][div]

7、目录浏览，服务器配置不当，可以直接浏览目录。