大部分網站容易被入侵嗎?(3)

　　黑頁里的特殊指紋，利于我追蹤;

　　網站請求日志;

　　我的網站源碼里是否有后門;

　　調查黑頁不僅僅是為了拿到里面的特殊指紋，還有想看看是否有植入網馬(如果有這個，那這個黑客太狠了，我非得把這個人挖出來并曝光)，或者更邪惡的XSS攻擊(這個我估計很多很多人都想不到，如果有這個，我會很尊敬這個黑客)，我如此謹慎是因為如果是我要做些邪惡的事，我會這樣做。

　　結果這個黑頁很普通。于是開始查看網站請求日志(如果是我猜測的攻擊手法，日志里不應該有什么明顯特征)，果然日志里沒什么奇怪的，基本肯定了我的猜測了。

　　但是我還是不放心，既然是我猜測的攻擊手法，那這個黑客如果不是僅僅“just a joke”，那肯定還會留下后門，WordPress那么多文件，我如何最快的速度確定是否有后門呢?

　　我用Python腳本改寫了兩個程序(幸好之前我有積累)，一個腳本分析全球常見后門(Webshell)特征(允許誤報)，一個腳本對比我之前備份過的文件Hash(擔心被篡改植入一句話后門)。

　　半小時后，完成了這些檢查(如下圖)，看來這個黑客僅僅是想開個小玩笑而已。

　　那這個我已經猜測到的攻擊手法是什么呢?很簡單，我博客所在的主機權限配置很脆弱，只要這個主機上任意網站被黑，都可能威脅到我的博客，這個主機被黑客拿下了，然后看到我的博客居然在里面，順手來了個玩笑。

　　---------END--------

　　你覺得你的網站很安全?無懈可擊?或許有人會反駁：這些只是小網站!?

　　如何黑掉知乎?

　　這個話題是13年8月份知乎圓桌的活動引起的，上圖來源烏云白帽豬豬俠。當時我注冊知乎還沒怎么開始玩，覺得很有意思，在我展開“行動”之前已經有了幾個不錯的回答：如何黑掉知乎?

　　看到回答之后雞血指數直線上升，于是我也挖了一個存儲型XSS跨站漏洞，彈了幾個框。知乎正如 @李普君 所說體驗真是出奇的好!登陸某管理員知乎賬號后便能發現首頁大大的[管理]二字，我如今已對權限的欲望已經逐漸萎縮，便沒能好好珍惜住權限。

　　事后 @李申申 還送了我小禮物表示感謝，知乎對待安全的態度是蠻不錯的。

　　說了那么多，最重要的來了!如何加固網站安全以及提高安全意識?

　　加固網站安全提高安全意識

　　一開始便提到了網站大致可分為幾大塊以及使用開源/閉源程序，如何加固?

　　網站程序的采用：

　　盡量采用大廠商提供的程序

　　關注一些安全廠商以及官方微博，第一時間獲取是否出現新漏洞

　　市面上開源所能提供的已經很廣泛了，沒有特殊需要無所謂非要自己重新寫套程序

　　服務器權限的配置：

　　關閉不需要的服務以及端口

　　定期的更新系統補丁

　　使用安全防御軟件，例如安全狗、啊D等

　　文件列目錄等權限最小化，盡量消減Guest權限

　　網站數據庫不再使用ROOT權限，分配相應用戶管理

　　Other：

　　使用WAF服務，例如加速樂、安全寶等

　　弱口令是大忌!

　　謹記權限最小化!

　　More...

　　關于安全意識：

　　不是沒人能黑你，只是你沒有價值被黑

　　不要等到出事后才想起來事前沒做防護措施

　　密碼定時更換，能少泄露自己的隱私就少泄露

　　多關注一些有關安全方面的人才，當然這需要你來篩分人才與“人才”

　　安全意識要潛意識的存在你的腦子里，別來個中獎就把安全意識扔到腦外

　　手機能夠使用正版APP就使用，能夠不越獄不ROOT就別做這些操作

　　涉及到敏感隱私以及賬戶安全的時候謹慎操作

　　More...

　　我想說：“世界是不安全的，無論在哪，這是一個傻子太多騙子用不過來的時代。”

原文轉自：http://wang186.cn/post-286.html