大學(xué)的生活很精彩�,也同時很枯燥�。我這樣說是因為我上過本科�����,知道學(xué)校生活的上千種姿態(tài)����。大批大批的優(yōu)秀人才出自大學(xué)����,但也不乏有名校培養(yǎng)出來的寄生蟲,他們很聰明����,智慧高于常人,也許他們心中有故事吧�。憤怒、焦慮����、不滿�,長時間的壓抑導(dǎo)致他們內(nèi)心像文森特的星月夜一樣扭曲,正上演著一起起報復(fù)和入侵的故事…
毋庸置疑��,綁架����、殺人這樣愚蠢的報復(fù)方式不是他們的最佳選擇,而對于學(xué)校網(wǎng)站的破壞和攻擊才是他們的樂趣所在����,喪性又貪婪�����。像是享受世上最可口的美食和大麻����,這種欲望一旦上癮����,將一發(fā)不可收拾。
我們都知道學(xué)校網(wǎng)站其實(shí)相對比企業(yè)的網(wǎng)站更加容易受到攻擊,下面蒙特學(xué)校網(wǎng)站建設(shè)公司防黑專員對當(dāng)前大學(xué)教育站點(diǎn)所存在的一些常見漏洞以及滲透攻擊方式進(jìn)行一個簡單的分析:
一通用版的編輯器
學(xué)校網(wǎng)站建設(shè)假如使用了ewebeditor的站點(diǎn)����,通常使用的兩個辦法:它可以監(jiān)測默認(rèn)的學(xué)校網(wǎng)站后臺地址����,像ewebeditor/admin_login.asp等��,還可以探測ewebeditor的數(shù)據(jù)庫��,那么接下去得到webshell就是探囊取物的事情了���,那么作為學(xué)校網(wǎng)站管理人員����,該如何去防止這些入侵行為呢���?
其實(shí)方法不難��,但是你要認(rèn)真聽����,并做好筆記��。首先登錄后臺���,修改密碼�����,然后使用ftp工具登錄網(wǎng)站空間���,刪除admin_login.asp文件,如果不需要上傳的話��,最好連upload.asp也一起刪除掉(通常是需要的)�����,假如被入侵者首占先機(jī)����,那么它也可以在webshell中來執(zhí)行這些操作,學(xué)校站點(diǎn)就會任其宰割�����。
二網(wǎng)站后臺的帳號隱患
對于"'or'='or'"或者admin/admin來說,這種弱口令的逐漸逝擊��,入侵者們早就已經(jīng)看不上眼了����,他們會利用社工來判斷這些弱口令,比“發(fā)稿人:lpc”這幾個關(guān)鍵字�����,那么在谷歌中輸入“site:目標(biāo)站點(diǎn)intext-發(fā)稿人”就可以搜索出許多和他相關(guān)的資料了�����。那么為什么要這么做的����,因為發(fā)稿人一般使用的都是后臺帳號,只需要把這些發(fā)稿人的帳號搞到手�����,那么就可以盡情的社工了��。
三程序都是學(xué)生負(fù)責(zé)編寫�����、備份和上傳
因為是學(xué)生��,所以專業(yè)的技能和IT知識實(shí)在欠缺��,更別提什么防入侵了�����。一些上傳代碼就直接使用了一些以前的CMS代碼��,對于上傳的截斷漏洞很多的可謂是遍地都是�,上百度一查都能霸屏,在備份文件的時候往往會弄個web.rar或者“域名.rar”這種很容易被社工出的文件名來作為備份��,可想而知���,這些文件有多么容易猜測�����,那么你說這樣的學(xué)校站點(diǎn)還有什么安全性可言���。說句不是太中聽的話:假如一個天賦優(yōu)良的六年級小學(xué)生���,讓他讀一天的百度知道里面的大學(xué)網(wǎng)站存在諸多漏洞的問題和易入侵的方面知識,相信能在短短幾天之內(nèi)��,讓一所本科學(xué)校網(wǎng)站頃刻之間到達(dá)報廢的效果���。
學(xué)校��,不僅僅是培養(yǎng)人才的地方�,也是對廣大學(xué)生的個人信息��,教育體制信息維護(hù)和保障的地方�����,若是因不堪一擊的而學(xué)校網(wǎng)站丟失了這些重要的東西����,那造成的經(jīng)濟(jì)和社會損失是難以衡量的。
作為學(xué)校網(wǎng)站建設(shè)及防入侵的經(jīng)驗老者��、網(wǎng)站資深定制服務(wù)商蒙特想說一句:專業(yè)的建站事情交給專業(yè)的人做�,學(xué)校領(lǐng)導(dǎo)們����,為了眾多的莘莘學(xué)子,請保持一份責(zé)任�����。
大學(xué)的生活很精彩�����,也同時很枯燥��。我這樣說是因為我上過本科�,知道學(xué)校生活的上千種姿態(tài)���。大批大批的優(yōu)秀人才出自大學(xué),但也不乏有名校培養(yǎng)出來的寄生蟲����,他們很聰明,智慧高于常人�,也許他們心中有故事吧。憤怒��、焦慮����、不滿,長時間的壓抑導(dǎo)致他們內(nèi)心像文森特的星月夜一樣扭曲��,正上演著一起起報復(fù)和入侵的故事…
毋庸置疑���,綁架����、殺人這樣愚蠢的報復(fù)方式不是他們的最佳選擇�����,而對于學(xué)校網(wǎng)站的破壞和攻擊才是他們的樂趣所在,喪性又貪婪����。像是享受世上最可口的美食和大麻,這種欲望一旦上癮�����,將一發(fā)不可收拾���。
我們都知道學(xué)校網(wǎng)站其實(shí)相對比企業(yè)的網(wǎng)站更加容易受到攻擊,下面蒙特學(xué)校網(wǎng)站建設(shè)公司防黑專員對當(dāng)前大學(xué)教育站點(diǎn)所存在的一些常見漏洞以及滲透攻擊方式進(jìn)行一個簡單的分析:
一通用版的編輯器
學(xué)校網(wǎng)站建設(shè)假如使用了ewebeditor的站點(diǎn)�,通常使用的兩個辦法:它可以監(jiān)測默認(rèn)的學(xué)校網(wǎng)站后臺地址,像ewebeditor/admin_login.asp等����,還可以探測ewebeditor的數(shù)據(jù)庫,那么接下去得到webshell就是探囊取物的事情了����,那么作為學(xué)校網(wǎng)站管理人員,該如何去防止這些入侵行為呢����?
其實(shí)方法不難����,但是你要認(rèn)真聽����,并做好筆記。首先登錄后臺���,修改密碼�,然后使用ftp工具登錄網(wǎng)站空間���,刪除admin_login.asp文件�����,如果不需要上傳的話��,最好連upload.asp也一起刪除掉(通常是需要的)����,假如被入侵者首占先機(jī)�����,那么它也可以在webshell中來執(zhí)行這些操作,學(xué)校站點(diǎn)就會任其宰割�。
二網(wǎng)站后臺的帳號隱患
對于"'or'='or'"或者admin/admin來說,這種弱口令的逐漸逝擊����,入侵者們早就已經(jīng)看不上眼了,他們會利用社工來判斷這些弱口令����,比“發(fā)稿人:lpc”這幾個關(guān)鍵字,那么在谷歌中輸入“site:目標(biāo)站點(diǎn)intext-發(fā)稿人”就可以搜索出許多和他相關(guān)的資料了���。那么為什么要這么做的���,因為發(fā)稿人一般使用的都是后臺帳號��,只需要把這些發(fā)稿人的帳號搞到手����,那么就可以盡情的社工了。
三程序都是學(xué)生負(fù)責(zé)編寫����、備份和上傳
因為是學(xué)生�����,所以專業(yè)的技能和IT知識實(shí)在欠缺���,更別提什么防入侵了。一些上傳代碼就直接使用了一些以前的CMS代碼����,對于上傳的截斷漏洞很多的可謂是遍地都是,上百度一查都能霸屏����,在備份文件的時候往往會弄個web.rar或者“域名.rar”這種很容易被社工出的文件名來作為備份,可想而知��,這些文件有多么容易猜測���,那么你說這樣的學(xué)校站點(diǎn)還有什么安全性可言�。說句不是太中聽的話:假如一個天賦優(yōu)良的六年級小學(xué)生���,讓他讀一天的百度知道里面的大學(xué)網(wǎng)站存在諸多漏洞的問題和易入侵的方面知識�����,相信能在短短幾天之內(nèi)����,讓一所本科學(xué)校網(wǎng)站頃刻之間到達(dá)報廢的效果。
學(xué)校����,不僅僅是培養(yǎng)人才的地方,也是對廣大學(xué)生的個人信息����,教育體制信息維護(hù)和保障的地方,若是因不堪一擊的而學(xué)校網(wǎng)站丟失了這些重要的東西�����,那造成的經(jīng)濟(jì)和社會損失是難以衡量的���。
作為學(xué)校網(wǎng)站建設(shè)及防入侵的經(jīng)驗老者、網(wǎng)站資深定制服務(wù)商蒙特想說一句:專業(yè)的建站事情交給專業(yè)的人做���,學(xué)校領(lǐng)導(dǎo)們����,為了眾多的莘莘學(xué)子�,請保持一份責(zé)任。
