织梦安全措施-黑客常用的网站攻击伎俩和应对措施

  网站不安全,做的再好也是白搭 “DEDE安全吗,怎么总是被入侵挂马? ”天,怎么回事,又被挂马了”经常能碰到这样的抱怨。网站安全是我们做推广最基本的条件,小编之前没有意识到网站安全的重要性,导致网站被CC攻击、web、SQL注入N种手段攻击,为了应对供给我换了4次空间、wp换了3套主题、最后整个更换程序。因为找不到解决方法结果还是网站打不开、快照被删除,足足瘫痪了下半月。直到最近的几天才找到解决方法。今天天禾seo就给大家分享分享黑客常用的攻击伎俩和我们的应对措施。

  

  因为小编使用的是织梦网站,就拿织梦网站举例子把,应对黑客攻击之前我们首先要做好自己网站的防御措施,我之前有些过一篇【详解织梦dedecms根目录权限安全设置教程】,大家如果不了解的话,建议先去看看。

  

  黑客常用的攻击伎俩

  

  一、CC流量攻击

  

  CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库压力就越大,被访问的频率也越高,占用的系统资源也就相当可观。最终的结果就是,网站占用系统资源过多被暂停、或者流量耗尽被关停。

  

  应对方案

  

  使用百度云加速工具 防CC攻击  防SQL注入 需要把域名的DNS更换成百度云加速的

  

  分析网站日志

  

  找出CC攻击的IP 使用ctrl+F 查找 数量较多的IP   CC攻击的IP一般会在网站日志种会有几千遍

  

  联系空间商客服 在301 重定向文件中 屏蔽掉这些IP,找出问题,解决问题。

  

  二、SQL 注入攻击

  

  SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

  

  SQL攻击流程

  

  ●SQL注入威胁表现形式可以体现为以下几点:

  

  ●绕过认证,获得非法权限

  

  ●猜解后台数据库全部的信息

  

  ●注入可以借助数据库的存储过程进行提权等操作

  

  ●SQL注入攻击的典型手段

  

  ●判断应用程序是否存在注入漏洞

  

  ●收集信息、并判断数据库类型

  

  ●根据注入参数类型,重构SQL语句的原貌

  

  ●猜解表名、字段名

  

  ●获取账户信息、攻击web或为下一步攻击做准备

  

  防范措施

  

  防范SQL注入式攻击闯入并不是一件特别困难的事情,只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。

  

  ● 替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义。

  

  ● 删除用户输入内容中的所有连字符,防止攻击者顺利获得访问权限。

  

  ● 对于用来执行查询的数据库账户,限制其权限。用不同的用户账户执行查询、插入、更新、删除操作。由于隔离了不同账户可执行的操作,因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。

  

  ● 用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以被限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。

  

  ● 检查用户输入的合法性,确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行。之所以要执行服务器端验证,是为了弥补客户端验证机制脆弱的安全性。在客户端,攻击者完全有可能获得网页的源代码,修改验证合法性的脚本(或者直接删除脚本),然后将非法内容通过修改后的表单提交给服务器。因此,要保证验证操作确实已经执行,唯一的办法就是在服务器端也执行验证。

  

  ● 将用户登录名称、密码等数据加密保存。加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了“消毒”处理。用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入SQL命令。

  

  ● 检查提取数据的查询所返回的记录数量。如果程序只要求返回一个记录,但实际返回的记录却超过一行,那就当做出错处理

  

  下面是群里朋友提供的一个织梦防SQL注入 跨站提交的通用代码,由阿里云提供。

  

  1.将waf.php传到要包含的文件的目录

  

  2.在页面中加入防护,有两种做法,根据情况二选一即可:

  

  a).在所需要防护的页面加入代码

  

  require_once(‘waf.php’);

  

  就可以做到页面防注入、跨站

  

  如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!

  

  添加require_once(‘waf.php’);来调用本代码

  

  常用php系统添加文件:

  

  PHPCMS V9 \phpcms\base.php

  

  PHPWIND8.7 \data\sql_config.php

  

  DEDECMS5.7 \data\common.inc.php

  

  DiscuzX2   \config\config_global.php

  

  Wordpress   \wp-config.php

  

  Metinfo   \include\head.php

  

  b).在每个文件最前加上代码

  

  在php.ini中找到:

  

  Automatically add files before or after any PHP document.

  

  auto_prepend_file = waf.php路径;

  

  三、Dos攻击

  

  Dos攻击是一种针对服务器的能够让服务器呈现静止状态的攻击方式。有时候也加服务停止攻击或拒绝服务攻击。其原理就是发送大量的合法请求到服务器,服务器无法分辨这些请求是正常请求还是攻击请求,所以都会照单全收。海量的请求会造成服务器停止工作或拒绝服务的状态。这就是Dos攻击。

  

  攻击方式:

  

  Ping Flood攻击即利用ping命令不停的发送的数据包到服务器。

  

  SYN Flood攻击即利用tcp协议原理,伪造受害者的ip地址,一直保持与服务器的连接,导致受害者连接服务器的时候拒绝服务。

  

  解决方案:

  

  设置路由器与交换机的安全配置,即设置防火墙。

  

  四、Cookies攻击

  

  通过Java Script非常容易访问到当前网站的cookie。你可以打开任何网站,然后在浏览器地址栏中输入:javascript:alert(doucment.cookie),立刻就可以看到当前站点的cookie(如果有的话)。攻击者可以利用这个特性来取得你的关键信息。例如,和XSS攻击相配合,攻击者在你的浏览器上执行特定的Java Script脚本,取得你的cookie。假设这个网站仅依赖cookie来验证用户身份,那么攻击者就可以假冒你的身份来做一些事情。

  

  现在多数浏览器都支持在cookie上打上HttpOnly的标记,凡有这个标志的cookie就无法通过Java Script来取得,如果能在关键cookie上打上这个标记,就会大大增强cookie的安全性

  

  五、重定向攻击

  

  一种常用的攻击手段是“钓鱼”。钓鱼攻击者,通常会发送给受害者一个合法链接,当链接被点击时,用户被导向一个似是而非的非法网站,从而达到骗取用户信任、窃取用户资料的目的。

  

  为防止这种行为,我们必须对所有的重定向操作进行审核,以避免重定向到一个危险的地方.常见解决方案是白名单,将合法的要重定向的url加到白名单中,非白名单上的域名重定向时拒之,第二种解决方案是重定向token,在合法的url上加上token,重定向时进行验证.

  

  小结:织梦网站是常用的网站程序,正因为其本身开源程序又有很多漏洞,我们平时一定要做好织梦安全措施,养成定期备份网站的好习惯,是防范网站中毒最好办法!

详解织梦dedecms根目录权限安全设置教程

您可能还会对下面的文章感兴趣:

织梦网站
  • 青岛网站优化_青岛seo_青岛网站建设丨天禾SEO技术博客
  • 全国服务热线:
  • 手机:
  • 传真:
  • 邮箱:
  • 地址: