網(wǎng)站服務器存在安全漏洞 網(wǎng)站安全服務器安全

https://url365.club/為什么打不開了

為什么打不開了

創(chuàng)新互聯(lián)建站專注于都安網(wǎng)站建設服務及定制，我們擁有豐富的企業(yè)做網(wǎng)站經驗。 熱誠為您提供都安營銷型網(wǎng)站建設，都安網(wǎng)站制作、都安網(wǎng)頁設計、都安網(wǎng)站官網(wǎng)定制、微信小程序定制開發(fā)服務，打造都安網(wǎng)絡公司原創(chuàng)品牌,更為您提供都安網(wǎng)站排名全網(wǎng)營銷落地服務。

一、網(wǎng)站打不開有哪些原因?

原因一：域名到期或是網(wǎng)站服務器，或者建站系統(tǒng)到期了

原因二：瀏覽器問題

這種情況也是比較常見的，有可能是你的瀏覽器設置了安全級別導致的。

原因三：空間問題

服務器到期，或者是沒有綁定域名，服務器買的國外的，這都有可能會影響打開網(wǎng)站的。

原因四：網(wǎng)站或者服務器存在漏洞

網(wǎng)站或服務器被黑客攻擊注入了非法信息，比如博彩，賭博類信息，導致被百度，微信安全中心攔截?；蛘卟粩嗟恼埱蠓掌?，導致虛擬主機流量耗盡以及服務器癱瘓。

盤點信息安全常見的Web漏洞

一、SQL注入漏洞

SQL 注入攻擊（ SQL Injection ），簡稱注入攻擊、SQL注入，被廣泛用于非法獲取網(wǎng)站控制權，是發(fā)生在應用程序的數(shù)據(jù)庫層上的安全漏洞。在設計程序，忽略了對輸入字符串中夾帶的SQL指令的檢查，被數(shù)據(jù)庫誤認為是正常的SQL指令而運行，從而使數(shù)據(jù)庫受到攻擊，可能導致數(shù)據(jù)被竊取、更改、刪除，以及進一步導致網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害。

通常情況下， SQL 注入的位置包括：

（1）表單提交，主要是POST 請求，也包括GET 請求；

（2）URL 參數(shù)提交，主要為GET 請求參數(shù)；

（3）Cookie 參數(shù)提交；

（4）HTTP 請求頭部的一些可修改的值，比如Referer 、User_Agent 等；

（5）一些邊緣的輸入點，比如.mp3 文件的一些文件信息等。

SQL注入的危害不僅體現(xiàn)在數(shù)據(jù)庫層面上， 還有可能危及承載數(shù)據(jù)庫的操作系統(tǒng)；如果SQL 注入被用來掛馬，還可能用來傳播惡意軟件等，這些危害包括但不局限于：

（1）數(shù)據(jù)庫信息泄漏：數(shù)據(jù)庫中存放的用戶的隱私信息的泄露。作為數(shù)據(jù)的存儲中心，數(shù)據(jù)庫里往往保存著各類的隱私信息， SQL 注入攻擊能導致這些隱私信息透明于攻擊者。

（2）網(wǎng)頁篡改：通過操作數(shù)據(jù)庫對特定網(wǎng)頁進行篡改。

（3）網(wǎng)站被掛馬，傳播惡意軟件：修改數(shù)據(jù)庫一些字段的值，嵌入網(wǎng)馬鏈接，進行掛馬攻擊。

（4）數(shù)據(jù)庫被惡意操作：數(shù)據(jù)庫服務器被攻擊，數(shù)據(jù)庫的系統(tǒng)管理員帳戶被篡改。

（5）服務器被遠程控制，被安裝后門。經由數(shù)據(jù)庫服務器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng)。

（6）破壞硬盤數(shù)據(jù)，癱瘓全系統(tǒng)。

二、跨站腳本漏洞

跨站腳本攻擊（Cross-site scripting，通常簡稱為XSS）發(fā)生在客戶端，可被用于進行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。

XSS攻擊使用到的技術主要為HTML和Javascript，也包括VBScript和ActionScript等。XSS攻擊對WEB服務器雖無直接危害，但是它借助網(wǎng)站進行傳播，使網(wǎng)站的使用用戶受到攻擊，導致網(wǎng)站用戶帳號被竊取，從而對網(wǎng)站也產生了較嚴重的危害。

XSS類型包括：

（1）非持久型跨站：即反射型跨站腳本漏洞，是目前最普遍的跨站類型?？缯敬a一般存在于鏈接中，請求這樣的鏈接時，跨站代碼經過服務端反射回來，這類跨站的代碼不存儲到服務端（比如數(shù)據(jù)庫中）。上面章節(jié)所舉的例子就是這類情況。 （2）持久型跨站：這是危害最直接的跨站類型，跨站代碼存儲于服務端（比如數(shù)據(jù)庫中）。常見情況是某用戶在論壇發(fā)貼，如果論壇沒有過濾用戶輸入的Javascript代碼數(shù)據(jù)，就會導致其他瀏覽此貼的用戶的瀏覽器會執(zhí)行發(fā)貼人所嵌入的Javascript代碼。 （3）DOM跨站（DOM XSS）：是一種發(fā)生在客戶端DOM（Document Object Model文檔對象模型）中的跨站漏洞，很大原因是因為客戶端腳本處理邏輯導致的安全問題。

三、弱口令漏洞

弱口令(weak password) 沒有嚴格和準確的定義，通常認為容易被別人（他們有可能對你很了解）猜測到或被破解工具破解的口令均為弱口令。設置密碼通常遵循以下原則：

（1）不使用空口令或系統(tǒng)缺省的口令，這些口令眾所周知，為典型的弱口令。

（2）口令長度不小于8個字符。

（3）口令不應該為連續(xù)的某個字符（例如：AAAAAAAA）或重復某些字符的組合（例如：tzf.tzf.）。

（4）口令應該為以下四類字符的組合，大寫字母(A-Z)、小寫字母(a-z)、數(shù)字(0-9)和特殊字符。每類字符至少包含一個。如果某類字符只包含一個，那么該字符不應為首字符或尾字符。

（5）口令中不應包含本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail地址等等與本人有關的信息，以及字典中的單詞。

（6）口令不應該為用數(shù)字或符號代替某些字母的單詞。

（7）口令應該易記且可以快速輸入，防止他人從你身后很容易看到你的輸入。

（8）至少90天內更換一次口令，防止未被發(fā)現(xiàn)的入侵者繼續(xù)使用該口令。

四、HTTP報頭追蹤漏洞

HTTP/1.1（RFC2616）規(guī)范定義了HTTP TRACE方法，主要是用于客戶端通過向Web服務器提交TRACE請求來進行測試或獲得診斷信息。當Web服務器啟用TRACE時，提交的請求頭會在服務器響應的內容（Body）中完整的返回，其中HTTP頭很可能包括Session Token、Cookies或其它認證信息。

攻擊者可以利用此漏洞來欺騙合法用戶并得到他們的私人信息。該漏洞往往與其它方式配合來進行有效攻擊，由于HTTP TRACE請求可以通過客戶瀏覽器腳本發(fā)起（如XMLHttpRequest），并可以通過DOM接口來訪問，因此很容易被攻擊者利用。

五、Struts2遠程命令執(zhí)行漏洞

ApacheStruts是一款建立Java web應用程序的開放源代碼架構。Apache Struts存在一個輸入過濾錯誤，如果遇到轉換錯誤可被利用注入和執(zhí)行任意Java代碼。 網(wǎng)站存在遠程代碼執(zhí)行漏洞的大部分原因是由于網(wǎng)站采用了Apache Struts Xwork作為網(wǎng)站應用框架，由于該軟件存在遠程代碼執(zhí)高危漏洞，導致網(wǎng)站面臨安全風險。

六、文件上傳漏洞

文件上傳漏洞通常由于網(wǎng)頁代碼中的文件上傳路徑變量過濾不嚴造成的，如果文件上傳功能實現(xiàn)代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型，攻擊者可通過Web訪問的目錄上傳任意文件，包括網(wǎng)站后門文件（ webshell ），進而遠程控制網(wǎng)站服務器。因此，在開發(fā)網(wǎng)站及應用程序過程中，需嚴格限制和校驗上傳的文件，禁止上傳惡意代碼的文件。同時限制相關目錄的執(zhí)行權限，防范webshell攻擊。

七、私有IP地址泄露漏洞

IP地址是網(wǎng)絡用戶的重要標示，是攻擊者進行攻擊前需要了解的。獲取的方法較多，攻擊者也會因不同的網(wǎng)絡情況采取不同的方法，如：在局域網(wǎng)內使用Ping指令， Ping對方在網(wǎng)絡中的名稱而獲得IP；在Internet上使用IP版的QQ直接顯示。最有效的辦法是截獲并分析對方的網(wǎng)絡數(shù)據(jù)包。攻擊者可以找到并直接通過軟件解析截獲后的數(shù)據(jù)包的IP 包頭信息，再根據(jù)這些信息了解具體的IP。

針對最有效的“數(shù)據(jù)包分析方法”而言，就可以安裝能夠自動去掉發(fā)送數(shù)據(jù)包包頭IP信息的一些軟件。不過使用這些軟件有些缺點， 譬如：耗費資源嚴重，降低計算機性能；訪問一些論壇或者網(wǎng)站時會受影響；不適合網(wǎng)吧用戶使用等等。

現(xiàn)在的個人用戶采用最普及隱藏IP 的方法應該是使用代理，由于使用代理服務器后，“轉址服務”會對發(fā)送出去的數(shù)據(jù)包有所修改，致使“數(shù)據(jù)包分析”的方法失效。一些容易泄漏用戶IP 的網(wǎng)絡軟件(QQ 、MSN 、IE 等)都支持使用代理方式連接Internet ，特別是QQ 使用“ ezProxy ”等代理軟件連接后， IP版的QQ都無法顯示該IP地址。雖然代理可以有效地隱藏用戶IP，但攻擊者亦可以繞過代理， 查找到對方的真實IP地址，用戶在何種情況下使用何種方法隱藏IP，也要因情況而論。

八、未加密登錄請求

由于Web 配置不安全， 登陸請求把諸如用戶名和密碼等敏感字段未加密進行傳輸，攻擊者可以竊聽網(wǎng)絡以劫獲這些敏感信息。

九、敏感信息泄露漏洞

SQL 注入、XSS、目錄遍歷、弱口令等均可導致敏感信息泄露，攻擊者可以通過漏洞獲得敏感信息。

Web應用漏洞原理

Web應用攻擊是攻擊者通過瀏覽器或攻擊工具，在URL或者其它輸入?yún)^(qū)域（如表單等），向Web服務器發(fā)送特殊請求，從中發(fā)現(xiàn)Web應用程序存在的漏洞，從而進一步操縱和控制網(wǎng)站，查看、修改未授權的信息。

web服務器上的漏洞主要有

1、系統(tǒng)漏洞，例如系統(tǒng)權限太寬松、有危險的服務未關閉

2、網(wǎng)站漏洞，SQL注入，在線上傳等等

3、軟件漏洞，例如sql server等

建議你找【護衛(wèi)神】做下安全加固，他們家的入侵防護系統(tǒng)很不錯。專門防御web服務器安全。

我的網(wǎng)站又被掛馬了怎么解決？

1、掃描掛馬的目錄

掃描后將掛馬文件刪除，掛馬文件會篡改頁面內容，如果是生成文件則需要進行重新生成，如果是靜態(tài)非生成文件，則需要把備份文件還原回去，如果沒有備份文件我們則需要進行代碼重新編輯刪除被掛馬篡改的部分內容。

2、程序目錄查看修改時間

利用軟件篩選出的掛馬文件不一定是全部的文件，部分文件隱藏的比較深，這時候需要進行手動點開我們網(wǎng)站程序目錄進行修改時間查看，一般日期比較不一致的都有可能是掛馬文件的變形，這時候我們可以針對性的查看進行刪除。

3、將網(wǎng)站安全加固

網(wǎng)站掛馬清除后一定要記得將網(wǎng)站安全加固，首先文件用戶權限是一個非常重要的操作，對于不需要進行寫入修改的文件權限我們要進行文件權限修改為只讀。

4、修復網(wǎng)站漏洞

很多網(wǎng)站經常采用別人的模板來建站或者是后臺可能是市面上流傳的一些通用后臺例如織夢后臺，帝國后臺等等都可能純在版本漏洞，建議升級到最新版。

5、網(wǎng)站上傳審計

很多網(wǎng)站都有注冊發(fā)帖功能，而很多都是通過這個漏洞進行上傳篡改掛馬文件，所以我們的網(wǎng)站在上傳的這塊功能上如果不是必須可以進行刪除，或者對其發(fā)布上傳的權限另外歸檔權限確保不會影響到本身網(wǎng)站。

分享文章：網(wǎng)站服務器存在安全漏洞 網(wǎng)站安全服務器安全
標題鏈接：http://muchs.cn/article2/dophiic.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供響應式網(wǎng)站、關鍵詞優(yōu)化、網(wǎng)站內鏈、服務器托管、企業(yè)網(wǎng)站制作、虛擬主機

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)