為什么打不開了
創(chuàng)新互聯(lián)建站專注于都安網(wǎng)站建設(shè)服務(wù)及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供都安營(yíng)銷型網(wǎng)站建設(shè),都安網(wǎng)站制作、都安網(wǎng)頁設(shè)計(jì)、都安網(wǎng)站官網(wǎng)定制、微信小程序定制開發(fā)服務(wù),打造都安網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供都安網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。
一、網(wǎng)站打不開有哪些原因?
原因一:域名到期或是網(wǎng)站服務(wù)器,或者建站系統(tǒng)到期了
原因二:瀏覽器問題
這種情況也是比較常見的,有可能是你的瀏覽器設(shè)置了安全級(jí)別導(dǎo)致的。
原因三:空間問題
服務(wù)器到期,或者是沒有綁定域名,服務(wù)器買的國(guó)外的,這都有可能會(huì)影響打開網(wǎng)站的。
原因四:網(wǎng)站或者服務(wù)器存在漏洞
網(wǎng)站或服務(wù)器被黑客攻擊注入了非法信息,比如博彩,賭博類信息,導(dǎo)致被百度,微信安全中心攔截?;蛘卟粩嗟恼?qǐng)求服務(wù)器,導(dǎo)致虛擬主機(jī)流量耗盡以及服務(wù)器癱瘓。
一、SQL注入漏洞
SQL 注入攻擊( SQL Injection ),簡(jiǎn)稱注入攻擊、SQL注入,被廣泛用于非法獲取網(wǎng)站控制權(quán),是發(fā)生在應(yīng)用程序的數(shù)據(jù)庫層上的安全漏洞。在設(shè)計(jì)程序,忽略了對(duì)輸入字符串中夾帶的SQL指令的檢查,被數(shù)據(jù)庫誤認(rèn)為是正常的SQL指令而運(yùn)行,從而使數(shù)據(jù)庫受到攻擊,可能導(dǎo)致數(shù)據(jù)被竊取、更改、刪除,以及進(jìn)一步導(dǎo)致網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害。
通常情況下, SQL 注入的位置包括:
(1)表單提交,主要是POST 請(qǐng)求,也包括GET 請(qǐng)求;
(2)URL 參數(shù)提交,主要為GET 請(qǐng)求參數(shù);
(3)Cookie 參數(shù)提交;
(4)HTTP 請(qǐng)求頭部的一些可修改的值,比如Referer 、User_Agent 等;
(5)一些邊緣的輸入點(diǎn),比如.mp3 文件的一些文件信息等。
SQL注入的危害不僅體現(xiàn)在數(shù)據(jù)庫層面上, 還有可能危及承載數(shù)據(jù)庫的操作系統(tǒng);如果SQL 注入被用來掛馬,還可能用來傳播惡意軟件等,這些危害包括但不局限于:
(1)數(shù)據(jù)庫信息泄漏:數(shù)據(jù)庫中存放的用戶的隱私信息的泄露。作為數(shù)據(jù)的存儲(chǔ)中心,數(shù)據(jù)庫里往往保存著各類的隱私信息, SQL 注入攻擊能導(dǎo)致這些隱私信息透明于攻擊者。
(2)網(wǎng)頁篡改:通過操作數(shù)據(jù)庫對(duì)特定網(wǎng)頁進(jìn)行篡改。
(3)網(wǎng)站被掛馬,傳播惡意軟件:修改數(shù)據(jù)庫一些字段的值,嵌入網(wǎng)馬鏈接,進(jìn)行掛馬攻擊。
(4)數(shù)據(jù)庫被惡意操作:數(shù)據(jù)庫服務(wù)器被攻擊,數(shù)據(jù)庫的系統(tǒng)管理員帳戶被篡改。
(5)服務(wù)器被遠(yuǎn)程控制,被安裝后門。經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持,讓黑客得以修改或控制操作系統(tǒng)。
(6)破壞硬盤數(shù)據(jù),癱瘓全系統(tǒng)。
二、跨站腳本漏洞
跨站腳本攻擊(Cross-site scripting,通常簡(jiǎn)稱為XSS)發(fā)生在客戶端,可被用于進(jìn)行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。
XSS攻擊使用到的技術(shù)主要為HTML和Javascript,也包括VBScript和ActionScript等。XSS攻擊對(duì)WEB服務(wù)器雖無直接危害,但是它借助網(wǎng)站進(jìn)行傳播,使網(wǎng)站的使用用戶受到攻擊,導(dǎo)致網(wǎng)站用戶帳號(hào)被竊取,從而對(duì)網(wǎng)站也產(chǎn)生了較嚴(yán)重的危害。
XSS類型包括:
(1)非持久型跨站:即反射型跨站腳本漏洞,是目前最普遍的跨站類型??缯敬a一般存在于鏈接中,請(qǐng)求這樣的鏈接時(shí),跨站代碼經(jīng)過服務(wù)端反射回來,這類跨站的代碼不存儲(chǔ)到服務(wù)端(比如數(shù)據(jù)庫中)。上面章節(jié)所舉的例子就是這類情況。 (2)持久型跨站:這是危害最直接的跨站類型,跨站代碼存儲(chǔ)于服務(wù)端(比如數(shù)據(jù)庫中)。常見情況是某用戶在論壇發(fā)貼,如果論壇沒有過濾用戶輸入的Javascript代碼數(shù)據(jù),就會(huì)導(dǎo)致其他瀏覽此貼的用戶的瀏覽器會(huì)執(zhí)行發(fā)貼人所嵌入的Javascript代碼。 (3)DOM跨站(DOM XSS):是一種發(fā)生在客戶端DOM(Document Object Model文檔對(duì)象模型)中的跨站漏洞,很大原因是因?yàn)榭蛻舳四_本處理邏輯導(dǎo)致的安全問題。
三、弱口令漏洞
弱口令(weak password) 沒有嚴(yán)格和準(zhǔn)確的定義,通常認(rèn)為容易被別人(他們有可能對(duì)你很了解)猜測(cè)到或被破解工具破解的口令均為弱口令。設(shè)置密碼通常遵循以下原則:
(1)不使用空口令或系統(tǒng)缺省的口令,這些口令眾所周知,為典型的弱口令。
(2)口令長(zhǎng)度不小于8個(gè)字符。
(3)口令不應(yīng)該為連續(xù)的某個(gè)字符(例如:AAAAAAAA)或重復(fù)某些字符的組合(例如:tzf.tzf.)。
(4)口令應(yīng)該為以下四類字符的組合,大寫字母(A-Z)、小寫字母(a-z)、數(shù)字(0-9)和特殊字符。每類字符至少包含一個(gè)。如果某類字符只包含一個(gè),那么該字符不應(yīng)為首字符或尾字符。
(5)口令中不應(yīng)包含本人、父母、子女和配偶的姓名和出生日期、紀(jì)念日期、登錄名、E-mail地址等等與本人有關(guān)的信息,以及字典中的單詞。
(6)口令不應(yīng)該為用數(shù)字或符號(hào)代替某些字母的單詞。
(7)口令應(yīng)該易記且可以快速輸入,防止他人從你身后很容易看到你的輸入。
(8)至少90天內(nèi)更換一次口令,防止未被發(fā)現(xiàn)的入侵者繼續(xù)使用該口令。
四、HTTP報(bào)頭追蹤漏洞
HTTP/1.1(RFC2616)規(guī)范定義了HTTP TRACE方法,主要是用于客戶端通過向Web服務(wù)器提交TRACE請(qǐng)求來進(jìn)行測(cè)試或獲得診斷信息。當(dāng)Web服務(wù)器啟用TRACE時(shí),提交的請(qǐng)求頭會(huì)在服務(wù)器響應(yīng)的內(nèi)容(Body)中完整的返回,其中HTTP頭很可能包括Session Token、Cookies或其它認(rèn)證信息。
攻擊者可以利用此漏洞來欺騙合法用戶并得到他們的私人信息。該漏洞往往與其它方式配合來進(jìn)行有效攻擊,由于HTTP TRACE請(qǐng)求可以通過客戶瀏覽器腳本發(fā)起(如XMLHttpRequest),并可以通過DOM接口來訪問,因此很容易被攻擊者利用。
五、Struts2遠(yuǎn)程命令執(zhí)行漏洞
ApacheStruts是一款建立Java web應(yīng)用程序的開放源代碼架構(gòu)。Apache Struts存在一個(gè)輸入過濾錯(cuò)誤,如果遇到轉(zhuǎn)換錯(cuò)誤可被利用注入和執(zhí)行任意Java代碼。 網(wǎng)站存在遠(yuǎn)程代碼執(zhí)行漏洞的大部分原因是由于網(wǎng)站采用了Apache Struts Xwork作為網(wǎng)站應(yīng)用框架,由于該軟件存在遠(yuǎn)程代碼執(zhí)高危漏洞,導(dǎo)致網(wǎng)站面臨安全風(fēng)險(xiǎn)。
六、文件上傳漏洞
文件上傳漏洞通常由于網(wǎng)頁代碼中的文件上傳路徑變量過濾不嚴(yán)造成的,如果文件上傳功能實(shí)現(xiàn)代碼沒有嚴(yán)格限制用戶上傳的文件后綴以及文件類型,攻擊者可通過Web訪問的目錄上傳任意文件,包括網(wǎng)站后門文件( webshell ),進(jìn)而遠(yuǎn)程控制網(wǎng)站服務(wù)器。因此,在開發(fā)網(wǎng)站及應(yīng)用程序過程中,需嚴(yán)格限制和校驗(yàn)上傳的文件,禁止上傳惡意代碼的文件。同時(shí)限制相關(guān)目錄的執(zhí)行權(quán)限,防范webshell攻擊。
七、私有IP地址泄露漏洞
IP地址是網(wǎng)絡(luò)用戶的重要標(biāo)示,是攻擊者進(jìn)行攻擊前需要了解的。獲取的方法較多,攻擊者也會(huì)因不同的網(wǎng)絡(luò)情況采取不同的方法,如:在局域網(wǎng)內(nèi)使用Ping指令, Ping對(duì)方在網(wǎng)絡(luò)中的名稱而獲得IP;在Internet上使用IP版的QQ直接顯示。最有效的辦法是截獲并分析對(duì)方的網(wǎng)絡(luò)數(shù)據(jù)包。攻擊者可以找到并直接通過軟件解析截獲后的數(shù)據(jù)包的IP 包頭信息,再根據(jù)這些信息了解具體的IP。
針對(duì)最有效的“數(shù)據(jù)包分析方法”而言,就可以安裝能夠自動(dòng)去掉發(fā)送數(shù)據(jù)包包頭IP信息的一些軟件。不過使用這些軟件有些缺點(diǎn), 譬如:耗費(fèi)資源嚴(yán)重,降低計(jì)算機(jī)性能;訪問一些論壇或者網(wǎng)站時(shí)會(huì)受影響;不適合網(wǎng)吧用戶使用等等。
現(xiàn)在的個(gè)人用戶采用最普及隱藏IP 的方法應(yīng)該是使用代理,由于使用代理服務(wù)器后,“轉(zhuǎn)址服務(wù)”會(huì)對(duì)發(fā)送出去的數(shù)據(jù)包有所修改,致使“數(shù)據(jù)包分析”的方法失效。一些容易泄漏用戶IP 的網(wǎng)絡(luò)軟件(QQ 、MSN 、IE 等)都支持使用代理方式連接Internet ,特別是QQ 使用“ ezProxy ”等代理軟件連接后, IP版的QQ都無法顯示該IP地址。雖然代理可以有效地隱藏用戶IP,但攻擊者亦可以繞過代理, 查找到對(duì)方的真實(shí)IP地址,用戶在何種情況下使用何種方法隱藏IP,也要因情況而論。
八、未加密登錄請(qǐng)求
由于Web 配置不安全, 登陸請(qǐng)求把諸如用戶名和密碼等敏感字段未加密進(jìn)行傳輸,攻擊者可以竊聽網(wǎng)絡(luò)以劫獲這些敏感信息。
九、敏感信息泄露漏洞
SQL 注入、XSS、目錄遍歷、弱口令等均可導(dǎo)致敏感信息泄露,攻擊者可以通過漏洞獲得敏感信息。
Web應(yīng)用漏洞原理
Web應(yīng)用攻擊是攻擊者通過瀏覽器或攻擊工具,在URL或者其它輸入?yún)^(qū)域(如表單等),向Web服務(wù)器發(fā)送特殊請(qǐng)求,從中發(fā)現(xiàn)Web應(yīng)用程序存在的漏洞,從而進(jìn)一步操縱和控制網(wǎng)站,查看、修改未授權(quán)的信息。
1、系統(tǒng)漏洞,例如系統(tǒng)權(quán)限太寬松、有危險(xiǎn)的服務(wù)未關(guān)閉
2、網(wǎng)站漏洞,SQL注入,在線上傳等等
3、軟件漏洞,例如sql server等
建議你找【護(hù)衛(wèi)神】做下安全加固,他們家的入侵防護(hù)系統(tǒng)很不錯(cuò)。專門防御web服務(wù)器安全。
1、掃描掛馬的目錄
掃描后將掛馬文件刪除,掛馬文件會(huì)篡改頁面內(nèi)容,如果是生成文件則需要進(jìn)行重新生成,如果是靜態(tài)非生成文件,則需要把備份文件還原回去,如果沒有備份文件我們則需要進(jìn)行代碼重新編輯刪除被掛馬篡改的部分內(nèi)容。
2、程序目錄查看修改時(shí)間
利用軟件篩選出的掛馬文件不一定是全部的文件,部分文件隱藏的比較深,這時(shí)候需要進(jìn)行手動(dòng)點(diǎn)開我們網(wǎng)站程序目錄進(jìn)行修改時(shí)間查看,一般日期比較不一致的都有可能是掛馬文件的變形,這時(shí)候我們可以針對(duì)性的查看進(jìn)行刪除。
3、將網(wǎng)站安全加固
網(wǎng)站掛馬清除后一定要記得將網(wǎng)站安全加固,首先文件用戶權(quán)限是一個(gè)非常重要的操作,對(duì)于不需要進(jìn)行寫入修改的文件權(quán)限我們要進(jìn)行文件權(quán)限修改為只讀。
4、修復(fù)網(wǎng)站漏洞
很多網(wǎng)站經(jīng)常采用別人的模板來建站或者是后臺(tái)可能是市面上流傳的一些通用后臺(tái)例如織夢(mèng)后臺(tái),帝國(guó)后臺(tái)等等都可能純?cè)诎姹韭┒矗ㄗh升級(jí)到最新版。
5、網(wǎng)站上傳審計(jì)
很多網(wǎng)站都有注冊(cè)發(fā)帖功能,而很多都是通過這個(gè)漏洞進(jìn)行上傳篡改掛馬文件,所以我們的網(wǎng)站在上傳的這塊功能上如果不是必須可以進(jìn)行刪除,或者對(duì)其發(fā)布上傳的權(quán)限另外歸檔權(quán)限確保不會(huì)影響到本身網(wǎng)站。
分享文章:網(wǎng)站服務(wù)器存在安全漏洞 網(wǎng)站安全服務(wù)器安全
標(biāo)題鏈接:http://redsoil1982.com.cn/article2/dophiic.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供響應(yīng)式網(wǎng)站、關(guān)鍵詞優(yōu)化、網(wǎng)站內(nèi)鏈、服務(wù)器托管、企業(yè)網(wǎng)站制作、虛擬主機(jī)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)