揭秘网站安全隐患：全面攻略，检测并修复你的网站漏洞，强化网站安全防线

如何检测自己网站存在哪些缺陷，以便增强网站的安全性

建立网站一段时间后总会听闻某些网站遭遇恶意软件，某些网站遭受攻击。似乎入侵攻击似乎是件轻而易举的事情。实际上，入侵并非易事，轻易的是你的网站的基本安全措施并未完善。

若条件允许，建议聘请专业从事网站安全服务的sin安全进行安全维护。

一：恶意软件预防措施：

1、建议用户通过ftp上传、维护网页，尽量避免安装asp的上传工具。

2、对asp上传工具的调用必须进行身份验证，并仅允许可信的人使用上传工具。这包括各类新闻发布、商城及论坛程序，任何可上传文件的asp都需进行身份验证！

3、asp程序管理员的用户名和密码应具有一定的复杂性，不能过于简单，还需注意定期更换。

4、从正规网站下载asp程序，下载后要修改其数据库名称和存储路径，数据库文件名称也应具有一定的复杂性。

5、尽量保持程序为最新版本。

6、不要在网页上标注后台管理程序登录页面的链接。

7、为防止程序存在未知漏洞，可以在维护后删除后台管理程序的登录页面，下次维护时再通过ftp上传。

8、要定期备份数据库等重要文件。

9、日常要多维护，并留意空间中是否有来历不明的asp文件。记住：一分耕耘，一分收获！

10、一旦发现被入侵，除非自己能识别出所有恶意软件文件，否则要删除所有文件。

11、定期对网站进行安全检测，具体可以利用网上一些工具，如sin安全网站恶意软件检测工具！

二：恶意软件恢复措施：

1.修改账户密码

无论是商业还是非商业网站，初始密码大多都是admin。因此，你接手网站程序的第一件事就是“修改账户密码”。账户密码尽量不要使用你之前习惯的，换一些特别的。尽量将字母数字及符号混合使用。此外，密码最好超过15位。如果你使用SQL，应该使用特别的账户密码，不要使用什么什么admin之类的，否则很容易被入侵。

2.创建一个robots.txt

robots能够有效防止利用搜索引擎窃取信息的黑客。

3.修改后台文件

第一步：修改后台中的验证文件名称。

第二步：修改conn.asp，防止非法下载，也可对数据库加密后再修改conn.asp。

第三步：修改ACESS数据库名称，越复杂越好，如果可能的话，将数据所在目录更换。

4.限制登录后台IP

此方法最为有效，每位虚拟主机用户都应该具备这个功能。如果你的IP不固定，那就麻烦了，每次都需要更改，安全第一嘛。

5.自定义404页面及自定义传输ASP错误信息

404能够让黑客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误可能会向不明来意者传输对方想要的信息。

6.慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7.谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客轻松控制你的网站。

可以禁止上传或限制上传的文件类型。不懂的话可以找你的网站程序提供商。

8. cookie保护

登录时尽量不要访问其他站点，以防止cookie泄露。切记退出时要点退出并在关闭所有浏览器。

9.目录权限

请管理员设置好一些重要的目录权限，防止非正常访问。如不要给上传目录执行脚本权限及不要给非上传目录赋予写入权。

10.自我测试

如今在网上黑客工具琳琅满目，不妨找一些来测试一下你的网站是否安全。

11.例行维护

a.定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b.定期更改数据库的名字及管理员账户密码。

c.借助WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是否有异常文件，以及查看是否有异常账号。

网站被恶意软件攻击通常是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而遭受恶意软件攻击的。

网站被恶意软件攻击是普遍现象，然而也是每一位网站运营者的心头大患。

你是否因为网站和服务器天天被入侵攻击、遭受恶意软件攻击等问题而想过放弃呢？你是否也因为不太了解网站技术的问题而耽误了网站的运营？你是否也因为精心运营的网站反反复复被一些无聊的黑客入侵攻击、遭受恶意软件攻击而感到迷茫且无奈？有条件建议聘请专业从事网站安全服务的sin安全进行安全维护。

如何检测一个网站是否存在安全缺陷

扫描网站漏洞需要使用专业的扫描工具，以下就是介绍几种工具

1. Nikto

这是一个开源的Web服务器扫描程序，它可以对Web服务器的多种项目进行全面的测试。其扫描项目和插件经常更新并且可以自动更新。Nikto可以在尽可能短的周期内测试你的Web服务器，这在其日志文件中相当明显。不过，如果你想试验一下，它也可以支持LibWhisker的反IDS方法。不过，并非每一次检查都可以找出一个安全问题，尽管多数情况下是这样的。有一些项目是仅提供信息类型的检查，这种检查可以查找一些并不存在安全漏洞的项目，不过Web管理员或安全工程师们并不知道。

2. Paros proxy

这是一个对Web应用程序的漏洞进行评估的代理程序，即一个基于Java的web代理程序，可以评估Web应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS，从而改变cookies和表单字段等项目。它包括一个Web通信记录程序，Web圈套程序，hash计算器，还有一个可以测试常见的Web应用程序攻击的扫描器。

3. WebScarab:

它可以分析使用HTTP和HTTPS协议进行通信的应用程序，WebScarab可以用最简单的形式记录它观察的会话，并允许操作人员以各种方式观察会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态，那么WebScarab就可以满足你这种需求。不管是帮助开发人员调试其他方面的难题，还是允许安全专业人员识别漏洞，它都是一款不错的工具。

它可以解析采用HTTP和HTTPS协议传输信息的软件，WebScarab能够以最简便的方式记录所观察到的会话，并让操作者从多个角度审视会话。若需监视一个基于HTTP(S)的软件的运行状况，WebScarab便能满足这一需求。无论是协助开发者调试其他难题，还是让安全专家发现漏洞，它都是一款优秀的工具。

1. WebInspect：

   这是一款功能强大的Web应用扫描工具。SPI Dynamics推出的应用程序安全评估工具有助于发现Web应用中已知和未知的缺陷。它还能检查Web服务器是否正确配置，并尝试一些常见的Web攻击，例如参数注入、跨站脚本、目录遍历攻击等。

2. Whisker/libwhisker:

   Libwhisker是一个Perl模块，适用于HTTP测试。它可以针对众多已知的安全漏洞，测试HTTP服务器，尤其是检测危险CGI的存在。Whisker是一个基于libwhisker的扫描工具。

3. Burpsuite：

   这是一个用于攻击Web应用的综合性平台。Burp套件允许攻击者将人工和自动技术相结合，以列举、分析、攻击Web应用，或利用这些程序的漏洞。各种Burp工具协同工作，共享信息，并允许将一种工具发现的漏洞作为另一种工具的基础。

4. Wikto:

   可以说这是一个Web服务器评估工具，它可以检查Web服务器中的漏洞，并提供与Nikto相似的多项功能，但增加了许多有趣的功能模块，如后端挖掘和紧密的Google集成。它为MS.NET环境编写，但用户需注册后才能下载其二进制文件和源代码。

5. Acunetix Web Vulnerability Scanner:

   这是一款商业级的Web漏洞扫描工具，它可以检查Web应用中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作简便的图形用户界面，并能创建专业级的Web站点安全审核报告。

6. Watchfire AppScan：

   这也是一款商业级的Web漏洞扫描工具。AppScan在应用程序的整个开发周期中提供安全测试，从而简化了组件测试和开发早期的安全保证。它可以扫描许多常见的漏洞，如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等。

7. N-Stealth：

   N-Stealth是一款商业级的Web服务器安全扫描工具。它的升级频率高于一些免费的Web扫描工具，如Whisker/libwhisker、Nikto等。需要注意的是，实际上所有通用的VA工具，如Nessus、ISS Internet Scanner、Retina、SAINT、Sara等都包含Web扫描组件。N-Stealth主要为Windows平台提供扫描，但不提供源代码。