NEWS

分享创造价值   合作实现共赢

企业网站建设要注意这几个安全问题

企业网站建设要注意以下几个方面的安全,以防被入侵;
网站程序方面:
1、会员或低权限管理登陆后可抓包分析,尝试修改超级管理员密码,权限提升。
2、查找XSS,防止别人进入后台。
3、百度、谷歌搜索程序公开漏洞。
4、查找编辑器,比较典型的ewebeditor、fckeditor等等。
5、备份文件和后门,某些主站子目录存在分站,可以尝试其压缩文件是否存在,如果存在可能就是网站的源码。
6、查找phpmyadmin等管理程序,可以尝试弱口令,或者寻找其漏洞。
7、0day漏洞,不管是别人给你的,还是自己挖的,总之好使就行。
8、猜解文件,如知道某文件为admin_login.php,我们可尝试admin_add.php、admin_upload.php文件是否存在,也可以谷歌搜索site:cnseay.com inurl:edit等等,很多时候可以找到一些敏感文件,接着看是否验证权限或能否绕过验证。
9、上传,一些能上传的页面,比如申请友链、会员头像、和一些敏感页面等等,注意查看验证方式是否能绕过,注意结合服务器的解析特性,比如典型的IIS6.0、阿帕奇等。
10、会员注册、修改、删除、评论等一切需要操作数据库的地方记得加单引号之类查看是否存在insert、update等类型注入。
11、通常有下载功能的站我们可以尝试修改下URL文件名,看能否下载站点敏感文件,如数据库配置文件等,数据库不可外连情况下可以尝试数据库密码登陆后台,也可下载上传、登陆验证等文件进行代码审计。
12、查找注入,注意数据库用户权限和站库是否同服。
 
服务器方面应注意的问题:
 
1、目录浏览,服务器配置不当,可直接浏览目录
2、比较常见的解析漏洞,比如IIS6.0、阿帕奇、nginx/IIS7.0(php-fpm)解析漏洞等,还有就是cer、asa之类的解析,.htaccess文件解析配置等。
3、针对一些服务器管理程序,比如tomcat、jboss等等,这种比较常见于大中型的站点服务器。
4、弱口令和everyone权限,先扫描服务器开放的端口,比如21对应的FTP、1433对应的MSSQL、3306对应的MYSQL、3389对应的远程桌面、1521对应的Oracle等等,平时可以多搜集下字典,有时候效果也是不错的(通常在cain嗅探的时候,经常能嗅到别人不停的扫…)。
5、IIS、apache等各种漏洞,这个要平时多关注。
6、溢出,这点要看系统补丁和服务器使用的软件等等,比如FTP等工具,这里不详解。
7、通常先扫下服务器开放的端口,再考虑对策。
相关文章
  • 如何防范网站安全问题2023.06.09

    网站是企业与客户沟通和交流的重要窗口,它不仅要具备良好的视觉效果和用户体验,还需要保证数据的安全和隐私保护。因...

  • 企业网站建设的网络安全缺乏重视2022.12.30

    如今这个互联网信息时代,网站已经成为了一个很重要的载体,企业网站建设可以展现企业本身品牌形象,也可以在线交易平...

  • 滁州网站建设要注意哪些安全性问题?2022.12.30

    滁州网站建设安全性问题往往被我们所忽视,网站只要界面设计精美,打开速度快,后台能正常使用就可以了,网站安全问题...

  • 合肥网站建设的安全问题,你注意到了吗?2022.12.30

    合肥网站建设的安全性是不可忽视的一个重要因素,要采多种有效的防护手段,确保网站健康的运行。合肥网站建设公司逐个对...

  • 如何保障昆山网站建设的安全性?2022.12.30

    网络安全的重要性,而昆山网站建设初期,对于网站的安全防护问题就应该考虑进去,现在网站主要面临的网络攻击有各种DN...

  • 南通网站建设如何保障网络安全?2022.12.30

    南通网站建设时,网站安全是不可忽视的问题,网络安全问题已成为全球经济更大风险并对各大企业造成一系列重大损失。那...

  • 网站安全对于海口网站开发的影响力2022.12.30

    对于企业来说,海口网站开发的安全性要远高于其他的性能,比免费这块金字招牌更能引起大家的注意。因为网站一旦受到黑...

  • 网站制作中遇到网络攻击问题2022.12.30

    针对中小型的企业,比如电子商城类,小型游戏,支付类型,H5页面的网站开发等等,遇见网络攻击造成的损失是相当大的。...

  • 湘潭网站制作如何确保安全性?2022.12.30

    在湘潭网站制作中,保证网站的正常运行是非常重要的,而网站一旦不能正常运行,就用影响到网站的使用,导致网站不能正...

首页 电话 案例 关于