周围一些入门级的做网站的所谓高手,大多是自学成才,一开始用网络上开源的内容管理系统做网站,自己写个模板嵌入进去,再后来熟练了些就开始尝试自己写网站后台,虽然没有成熟的开源系统功能丰富,但是修改起来灵活自如,而且能保证所需要的基本功能,因此网站制作行业的程序代码是五花八门。
无论如何,网站的后台是给管理人员更新和维护网站用的,最多也就那么几个人使用后台,一般也没有人在乎后台的功能多不多,页面美不美,对于他们来说,只要够用就行。但是,对于网络上那些伪黑客而言,这些不入流的系统正逐渐成为他们进攻的对象,他们先用一些购买来的或者自己开发的扫描工具对这些网站的管理入口进行扫描,一般他们会从网上搜集一些常用的入口字典,这些字典中包括/admin/index.php、/admin/login.php、/login.php等等常用的后台管理入口路径,这是第一步工作,而有些网站管理员为了图方便,甚至在首页赤裸裸的放上后台入口的链接,也许真的只是图管理后台方便,给这些别有用心的人减少了第一步的麻烦。
接下来,就是要牵扯到用户登录了,一般最常用的也最有效的就是穷举法,也是利用网络上常用的用户字典来逐个扫描,这里就不再多说,没有多少技术含量,电脑小白也可以一个一个的输入测试登录。要说的是sql注入的漏洞,这个漏洞可是了不得,可以让网站的整个数据库被别人下载,当然最重要的是用户的数据,sql漏洞的原因就是没有对用户输入的用户名和密码数据进行字符过滤,对于懂得sql语法的人来说,利用这个漏洞,就可以在本该输入用户名(字符串)的地方输入了sql语句,sql语句可以做你想对数据库进行的任何操作,甚至删除整个数据库,能让网站瞬间崩溃,而如果网站数据库没有做备份的话,那么网站的数据就永远也找不回来了。
其实,补上这个漏洞也很简单,一般专业写代码的人或者了解过网站安全知识的人都应该知道并且不会故意犯这个错误,可是偏偏大多数自学成才者忽略了这一点,于是大批的网站就成了黑客赚钱的工具,一般他们不会把事情做绝,不会影响到正常的访问,他们盗走网站的用户数据,然后倒手卖给需要的人,或者在网站里放上一些商业网站的链接(这些链接正常访问网站是看不到的)以提高这些网站的权重。
在此,呼吁同行们一定要关注网站安全,功能的丰富是基于代码的安全可靠为前提的,一定要仔细检查自己的代码,避免悲剧的发生。
深圳网站建设专家:鲍余网络
8年专注:网站设计、网站建设、网站开发、营销型网站建设、营销型网站设计、APP开发、软件开发、微信开发、公众号开发、互动营销、响应式网站建设开发、响应式网站、互联网形象设计、空间租用、域名注册、虚拟主机、服务器托管、网站维护等服务。
咨询热线:0755-3693 8799
咨询QQ:8554 3483
联系人:鲍先生:
电话:185 7667 8080
微信:185 7667 8080
地址:深圳市龙华新区民治大道沙元埔大厦12楼1205-1228室(民治地铁站D出口对面)