企业要进行网络营销,具有营销能力的网站是必不可少的。 但是,正如“总是被网络冲走,不能不被人理睬”这句谚语所说,曾多次遭遇恶意竞争和黑客攻击,导致网站无法打开。 所以,我建议千树科技在保护自己的网站时,首先要学会如何保护自己的网站。
1、什么是网站被黑客入侵?
通常意义上的网站被黑客攻击是指黑客利用网站后台的程序漏洞进行攻击。 他们会在我们的网站上添加很多垃圾页面。 外向的火龙果在调查网站的收录情况时,一旦被黑客攻击,就会出现几个以不良品为内容的页面。 如果找到这些链接,表示你被攻击了。 尽快进行恢复和删除。
网站被黑客攻击的处理方法!
2、网站被黑客攻击后对网站的影响是什么?
如果我们的网站被百度收录的页面中含有上述不良内容,你的网站将被百度处罚。 站点排名可能会下降、被降级为k、站点,或者快照可能会返回。
3、网站黑链的检测与处理方法
1 .用site命令检查网站的收录内容
is7网站监控工具可提前预防各类网站劫持,是免费的在线查询,适用于各站长、政府网站、学校、公司、医院等网站。 他可以进行24小时的全天候监控,同时还为你提供了网站是否被黑客入侵、入侵、标题是否被换了、是否被上了黑链、是否被劫持、是否被墙壁和DNS污染等功能
官方地址: IIS7服务器管理工具
官方照片
2 .用站长工具检查分度量,有无异常;
3 .右键单击“查看网站源代码”,有无与网站内容无关的链接、乱码、乱码。
4 .通过检测木马的各种程序工具进行检测。
通常,遇到这种情况时,大多数黑客都是在后台、FTP中更改的代码,所以最好的解决方法是删除这些黑色链接,更改后台和FTP帐户的密码。
关于网站被黑客攻击的内容到此为止,我们不能阻止别人的攻击。 所以我们要有危机意识,定期检查网站,而且要经常备份网站的程序和数据。 以备不时之需!
1、跨站点脚本(XSS )。
问题: XSS漏洞是最普遍、最致命的web APP应用安全漏洞,当某个APP应用程序将用户数据发送到未经验证或未对内容进行编码的web浏览器时,容易发生。 黑客可以使用浏览器中的恶意脚本获取用户数据、破坏网站、插入有害内容,以及展开网络钓鱼攻击和恶意攻击。
实际情况:恶意攻击者去年对Paypal发起了攻击。 他们将Paypal用户重新启动到另一个恶意网站,警告用户账户被盗。 用户被引导到另一个钓鱼网站,输入自己的Paypal登录信息、社会保险号码和信用卡信息。 据Paypal公司称,2006年6月修复了其漏洞。
保护用户的方法:使用1个白名单验证所有接收到的数据,拦截所有白名单以外的数据。 此外,还可以对所有接收的数据进行编码。 OWASP说:“身份验证机制通过检测并编码攻击,可以防止其他恶意攻击者将其他脚本插入浏览器运行的内容中。”
2、注入漏洞
问题:如果用户提供的数据作为命令的一部分发送到转换器(将文本命令转换为可执行的机器命令),黑客会欺骗转换器。 攻击者可以利用注入漏洞创建、读取、更新或删除APP应用程序上的任意数据。 在最坏的情况下,攻击者可以利用这些漏洞完全控制APP复制和底层系统,或者绕过系统底层防火墙。
实际事例:俄罗斯黑客于2006年1月突破美国罗德岛政府的网站,窃取了大量的信用卡信息。 黑客们声称在SQL注入攻击中盗走了5万3000个信用卡账户,而主机服务提供商声称只盗走了4113个信用卡账户。
保护用户的方法:尽可能不要使用转换器。 OWASP组织表示:“如果需要使用转换器,避免注入攻击的最佳方法是使用安全的API,如参数化指令和对象关系映射库。”
3、恶意文件执行
问题:黑客们可以远程执行代码,远程安装rootkits工具,或者彻底突破系统。 从用户接收文件名或文件的web APP应用程序中存在一个漏洞。 漏洞可能是用PHP语言写的。 PHP是网络开发过程中使用最普遍的脚本语言。
实际情况:一位青少年程序员在2002年发现Guess.com网站存在漏洞,攻击者可以从Guess数据库中窃取用户名、信用卡号码、有效期限等20万名客户的资料。 Guess公司第二年接受联邦贸易委员会的调查后,同意升级安全系统。
保护用户的方法:请勿将用户提供的文件写入镜像或脚本等基于服务的资源。 设置防火墙规则,以防止在外部站点和内部系统之间建立新的连接。
4、不安全直接对象参照物
问题:攻击者可以直接利用对象的参照物越权访问其他对象。 如果网站地址或其他参数包含引用对象(如文件、目录、数据库记录或关键字),可能会发生这种攻击。
银行网站通常使用用户的帐户作为主关键字,因此用户的帐户可能会通过网络界面公开。
OWASP说:“数据库关键字的参照物通常会泄露。 攻击者可以通过推测这些参数或搜索其他有效关键字进行攻击。 它们通常是连续的。 ”
实际事例:澳大利亚的税务网站在2000年被一个用户打破了。 该用户只需将税务身份账号更改为网站地址,就获得了1.7万家企业的详细资料。 黑客通过电子邮件通知了那1.7万家企业,告知其数据已被解密。
保护用户的方法:利用索引通过间接引用进行映射
另一种间接法来避免发生直接对象参照物泄密。如果你不能避免使用直接参照,那么在使用它们之前必须对网站访问者进行授权。5、跨站指令伪造
■ 问题:这种攻击简单但破坏性强,它可以控制受害人的浏览器然后发送恶意指令到网络应用软件上。这种网站是很容易被攻击的,部分原因是因为它们是根据会话cookie或者“自动记忆”功能来授权指令的。各银行就是潜在的被攻击目标。
Williams说:“网络上99%的应用软件都是易被跨站指令伪造漏洞感染的。现实中是否发生过某人因此被攻击而损失钱财的事呢?也许连各银行都不知道。对于银行来说,整个攻击看起来就像是用户登录到系统中进行了一次合法的交易。”
■ 真实案例:一位名叫Samy的黑客在2005年末利用一个蠕虫在MySpace网站上获得了100万个“好友”资料,在成千上万个MySpace网页上自动出现了“Samy是我的英雄”的文字。攻击本身也许是无害的,但是据说这个案例证明了将跨站脚本与伪造跨站指令结合在一起所具备的威力。另一个案例发生在一年前,Google网站上出现了一个漏洞,外部网站可以利用那个漏洞改变用户的语言偏好设置。
■ 如何保护用户:不要依赖浏览器自动提交的凭证或者标识。OWASP说:“解决这个问题的唯一方法是使用一种浏览器不会记住的自定义标识。”
6、信息泄露和错误处理不当
■ 问题:各种应用软件产生并显示给用户看的错误信息对于黑客们来说也是有用的,那些信息可能将用户的隐私信息、软件的配置或者其他内部资料泄露出去。
OWASP说:“各种网络应用软件经常通过详细或者调试出错信息将内部状态信息泄露出去。通常,这些信息可能会导致用户系统受到更有力的攻击。”
■ 真实案例:信息泄露是通过错误处理不当发生的,ChoicePoint在2005年的崩溃就是这种类型的典型案例。攻击者假扮是ChoicePoint的合法用户在公司人员信息数据库中寻找某个人的资料,随后窃取了16.3万个消费者的记录资料。ChoicePoint后来对包含敏感数据的信息产品的销售进行了限制。
■ 如何保护用户:利用测试工具,比如OWASP的WebScarab Project等来查看应用软件出现的错误信息。OWASP说:“未通过这种方法进行测试的应用软件几乎肯定会出现意外错误信息。”
另一个方法是:禁止或者限制在错误处理中使用详细信息,不向用户显示调试信息。
7、不安全的认证和会话管理
■ 问题:如果应用软件不能自始至终地保护认证证书和会话标识,用户的管理员账户就会被攻破。应注意隐私侵犯和认证系统的基础原理并进行有效监控。
OWASP说:“主要验证机制中经常出现各种漏洞,但是攻击往往是通过注销、密码管理、限时登录、自动记忆、秘密问题和账户更新等辅助验证功能展开的。”
■ 真实案例:微软公司曾经消除过Hotmail中的一个漏洞,恶意Java脚本程序员曾经在2002年利用这个漏洞窃取了许多用户密码。这个漏洞是一家联网产品转售商发现的,包含木马程序的电子邮件可以利用这个漏洞更换Hotmail用户的操作界面,迫使用户不断重新输入他们的密码,并在用户不知情的情况下将它们发送给黑客。
■ 如何保护用户:通信与认证证书存储应确保安全性。传输私人文件的SSL协议应该是应用软件认证系统中的唯一选择,认证证书应以加密的形式进行保存。
另一个方法是:除去认证或者会话管理中使用的自定义cookie。
8、不安全的加密存储设备
■ 问题:虽然加密本身也是大部分网络应用软件中的一个重要组成部分,但是许多网络开发员没有对存储中的敏感数据进行加密。即便是现有的加密技术,其设计也是粗制滥造的。
OWASP说:“这些漏洞可能会导致用户敏感数据外泄以及破坏系统的一致性。”.
■ 真实案例:TJX数据失窃案中,被窃取的信用卡和提款卡账号达到了4570万个。加拿大政府调查后认为,TJX未能升级其数据加密系统。
■ 如何保护用户:不要开发你自己的加密算法。最好只使用已经经过审批的公开算法,比如AES、RSA公钥加密以及SHA-256或者更好的SHA-256。
另外,千万不要在不安全渠道上传送私人资料。
OWASP说,现在将信用卡账号保存起来是比较常见的做法,但是明年就是《信用卡行业数据安全标准》发布的最后期限,以后将不再将信用卡账号保存起来。
9、不安全的通信
■ 问题:与第8种漏洞类似,这种漏洞出现的原因是因为在需要对包含敏感信息的通信进行保护时没有将网络流通的数据进行加密。攻击者们可以获得包括证书和敏感信息的传送在内的各种不受保护的会话内容。因此,PCI标准要求对网络上传输的信用卡信息进行加密。
■ 真实案例:这次又是一个关于TJX的例子。华尔街日报的报道称,调查员们认为,黑客利用了一种类似于望远镜的天线和笔记本电脑来窃取通过无线方式传输的用户数据。
有报道称:“众多零售商的无线网络安全性还比不上许多人自己的局域网。TJX使用的是WEP加密系统而不是安全性更好的WPA加密系统。
■ 如何保护用户:在所有经过认证的连接上利用SSL,或者在敏感信息传输过程中使用SSL。SSL或者类似的加密协议应该加载在客户端、与在线系统有关的合作伙伴、员工和管理员账户上。利用传输层安全或者协议级加密系统来保护基础结构各部分之间的通信,比如网络服务器与数据库系统之间的通信。
10、未对网站地址的访问进行限制
■ 问题:有些网页的访问应该是受限于一小部分特权用户,比如管理员。然而这些网页通常并不具备真正的保护系统,黑客们可以通过猜测的方式找出这些地址。 Williams说,如果某个网站地址对应的ID号是123456,那么黑客会猜想123457对应的地址是什么呢?
OWASP说,针对这种漏洞的攻击被称作强迫浏览,通过猜测的方式去猜周围的链接并找出未经保护的网页。
■ 真实案例:Macworld Conference大会网站上有一个漏洞,用户可以免费获得价值1700美元的高级访问权限和微笑的爆米花的演讲内容。这个漏洞是在客户端而非服务器上评定用户的访问权限的,这样人们就可以通过浏览器中的Java脚本获得免费权限。
■ 如何保护用户:不要以为用户们不知道隐藏的地址。所有的网站地址和业务功能都应受到一个有效访问控制机制的保护,这个机制可以检验用户的身份和权限。