高手分享:黑客侵襲方法及防護(hù)絕招

一、黑客的入侵手段

　　現(xiàn)在黑客進(jìn)行網(wǎng)站入侵的第一種技術(shù)就是注入攻擊，包括服務(wù)器的一些較為流行的攻防技術(shù)。在講解網(wǎng)站安全攻防技術(shù)之前，我想做個(gè)調(diào)查：現(xiàn)在大家在運(yùn)營(yíng)自己的網(wǎng)站的時(shí)候，遇到過黑客入侵過的站長(zhǎng)請(qǐng)按1，沒有請(qǐng)按2……哇，居然有這么多被黑客入侵過的朋友，那我想今天大家來對(duì)了。

　　現(xiàn)在黑客進(jìn)行網(wǎng)站入侵的第一種技術(shù)就是注入攻擊，這是一種很多網(wǎng)站普遍遇到的安全問題，很多網(wǎng)絡(luò)程序員在編寫網(wǎng)站程序的時(shí)候，都沒有注意到對(duì)URL訪問數(shù)據(jù)庫(kù)作出限制，主要是編寫動(dòng)態(tài)操作數(shù)據(jù)庫(kù)的ASP/ASP.NET/PHP/jsp(SUN企業(yè)級(jí)應(yīng)用的首選)等語(yǔ)言。那我舉一個(gè)簡(jiǎn)單的例子大家看看這個(gè)網(wǎng)站　

　　大家可以在這個(gè)網(wǎng)站網(wǎng)址后面加上一個(gè)單引號(hào)然后再打開看看，頁(yè)面就無(wú)法顯示了，然后再輸入and1=1，再看結(jié)果;然后再輸入and1=2，再看結(jié)果。如果輸入and1=1和and1=2頁(yè)面返回的結(jié)果不一樣，那么就說明網(wǎng)站有注入漏洞。

　　注入漏洞的類型有好幾種：包括字符型注入，搜索型注入。各種注入都是萬(wàn)變不離其中，都是為了列舉數(shù)據(jù)庫(kù)的內(nèi)容，拿數(shù)據(jù)庫(kù)主要就是為了進(jìn)后臺(tái)傳WEB木馬。

　　所以第二個(gè)黑客入侵的手段是利用上傳漏洞進(jìn)行入侵。上傳漏洞是由于很多網(wǎng)站需要用戶上傳照片，用戶資料等功能所造成的，只不過現(xiàn)在都要用一些專業(yè)的工具來上傳，很多工具都還是可以繞過上傳文件限制來傳WEB木馬，所以上傳這一塊功能方面要盡量多設(shè)置一些安全防御措施。

　　比如：第一，限制上傳文件類型;第二，設(shè)置一個(gè)專門的上傳文件夾，給這個(gè)文件夾只有查看的權(quán)限，而沒有運(yùn)行腳本的權(quán)限;第三，安裝一些安全軟件，包括殺毒軟件和IPS系統(tǒng)之類的;第四，限制上傳文件大小。

　　剛才我們講的兩塊主要是側(cè)重于ASP+ACCESS方面的黑客入侵技術(shù)，下面講的主要是側(cè)重于ASP+SQL的安全攻防技術(shù)。