网站密码防护检测平台：揭秘自家网站潜在风险，助力强化网站安全防护

如何检测网站存在哪些安全隐患，以增强网站的安全防护

在网站运营一段时间后，常会听闻某些网站遭受恶意攻击，挂马事件频发。似乎入侵攻击变得轻而易举。实际上，入侵本身并不容易，问题在于你的网站并未采取必要的防护措施。

建议有条件的话，聘请专业的网站安全维护团队进行安全保障。

一：防范挂马措施：

1、建议用户通过FTP进行网页上传和维护，尽量避免安装ASP上传程序。

2、对ASP上传程序的调用必须进行身份验证，并仅允许信任的人使用上传程序。这包括新闻发布、商城及论坛程序等，所有可以上传文件的ASP程序都需要进行身份验证！

3、ASP程序管理员的用户名和密码应复杂，避免过于简单，并定期更换。

4、从正规网站下载ASP程序，下载后修改数据库名称和存放路径，数据库文件名称也应复杂。

5、尽量保持程序为最新版本。

6、不要在网页中添加后台管理程序的登录页面链接。

7、为防止程序存在未知漏洞，维护后删除后台管理程序的登录页面，下次维护时再通过FTP上传。

8、定期备份数据库等重要文件。

9、日常维护中注意是否有来历不明的ASP文件。记住：付出汗水，换取安全！

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则删除所有文件。

11、定期对网站进行安全检测，可利用网上一些工具，如sinesafe网站挂马检测工具！

二：挂马恢复措施：

1.修改账号密码

无论是商业还是非商业网站，初始密码大多是admin。因此，接到网站程序的第一件事就是“修改账号密码”。账号密码应避免使用之前习惯的，使用特别的组合。尽量使用字母、数字和符号，且密码长度最好超过15位。若使用SQL，应使用更特别的账号密码，避免使用admin等常见密码，否则容易被入侵。

2.创建robots.txt

robots.txt可以有效地防止利用搜索引擎窃取信息的攻击者。

3.修改后台文件

第一步：修改后台验证文件的名称。

第二步：修改conn.asp，防止非法下载，也可在修改conn.asp后对数据库加密。

第三步：修改ACESS数据库名称，越复杂越好，若可能，更换数据所在目录。

4.限制登录后台IP

此方法最为有效，每位虚拟主机用户都应具备此功能。若IP不固定，则需每次更改，确保安全。

5.自定义404页面及自定义传送ASP错误信息

404页面可以让攻击者批量查找后台重要文件，检查网页是否存在注入漏洞。

ASP错误信息可能会向不明来意者传送攻击者想要的信息。

6.慎重选择网站程序

注意网站程序是否本身存在漏洞，自己心中应有衡量标准。

7.谨慎上传漏洞

据调查，上传漏洞通常最简单也最严重，容易让黑客或攻击者轻松控制网站。

可以禁止上传或限制上传文件类型，如不懂，可咨询网站程序提供商。

8.cookie保护

登录时尽量不要访问其他站点，以防止cookie泄露。退出时务必点击退出并关闭所有浏览器。

9.目录权限

管理员应设置重要目录权限，防止非正常访问。如不要给上传目录执行脚本权限，不要给非上传目录写入权限。

10.自我测试

现在网上有许多黑客工具，不妨测试一下网站是否安全。

11.例行维护

a.定期备份数据。最好每日备份一次，下载备份文件后应及时删除主机上的备份文件。

b.定期更改数据库名称及管理员账号密码。

c.利用WEB或FTP管理，查看所有目录体积、最后修改时间以及文件数，检查文件是否异常，查看是否有异常账号。

网站被挂马通常是由于网站程序存在漏洞或服务器安全性能不达标，被不法黑客入侵攻击而导致的。

网站被挂马是普遍现象，但也是每位网站运营者的心头之患。

您是否因为网站和服务器频繁遭受入侵挂马等问题而想过放弃？您是否因为对网站技术不够了解而耽误了网站的运营？您是否因为精心运营的网站反复遭受黑客入侵挂马而感到困惑和无助？有条件的话，建议聘请专业网站安全维护团队进行安全保障。

如何检测网站是否存在安全漏洞

扫描网站漏洞需要使用专业的扫描工具，以下介绍几种工具：

1. Nikto

   这是一个开源的Web服务器扫描程序，可以对Web服务器的多种项目进行全面测试。其扫描项目和插件经常更新，并可自动更新。Nikto可以在较短的周期内测试Web服务器，这在日志文件中体现得十分明显。尽管并非每次检查都能找出安全问题，但在多数情况下可以。有些项目仅提供信息类型的检查，可以查找一些并不存在安全漏洞的项目，但Web管理员或安全工程师可能并不了解。

2. Paros proxy

   这是一个评估Web应用程序漏洞的代理程序，基于Java的Web代理程序，可以评估Web应用程序的漏洞。它支持动态编辑/查看HTTP/HTTPS，改变cookies和表单字段等项目。它包括Web通信记录程序、Web圈套程序、hash计算器，以及测试常见Web应用程序攻击的扫描器。

3. WebScarab:

   它可以分析使用HTTP和HTTPS协议进行通信的应用程序，WebScarab可以用最简单的形式记录观察到的会话，并允许操作人员以各种方式观察会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态，那么WebScarab就可以满足你的需求。无论是帮助开发人员调试其他方面的难题，还是允许安全专业人员识别漏洞，它都是一款不错的工具。

它可以解析采用HTTP和HTTPS协议交流的应用程序，WebScarab能以最简便的方式记录其观察到的会话，并让操作者从多角度审视会话。若需监控一个基于HTTP(S)应用的实际运作状态，WebScarab便能满足这一需求。无论是协助开发者调试其他复杂问题，还是让安全专家发现潜在漏洞，它都是一款性能优良的辅助工具。

1. WebInspect：

   该工具是一款功能强大的Web应用安全扫描器。SPI Dynamics开发的这款应用安全评估工具有助于揭示Web应用中已知及未知的缺陷。它还能验证Web服务器是否配置得当，并尝试执行一系列常见的Web攻击，包括参数注入、跨站脚本、目录遍历等攻击方式。

2. Whisker/libwhisker:

   Libwhisker是一个Perl模块，适用于HTTP测试。它能针对众多已知的安全漏洞对HTTP服务器进行测试，尤其是检测存在风险的CGI程序。Whisker则是一款基于libwhisker的扫描工具。

3. Burpsuite：

   这是一个用于攻击Web应用的综合性平台。Burp套件允许攻击者将手动和自动技术相结合，用于枚举、分析、攻击Web应用，或利用其漏洞。多种Burp工具协同作业，共享信息，并能使一种工具发现的漏洞成为另一种工具的基础。

4. Wikto:

   该工具可视为一款Web服务器评估工具，它能检测Web服务器中的漏洞，并提供与Nikto类似的多项功能，同时增加了许多有趣的功能模块，如后端挖掘器和紧密的Google集成。它专为MS.NET环境编写，但用户需注册后才能下载其二进制文件和源代码。

5. Acunetix Web Vulnerability Scanner:

   这是一款商业级的Web漏洞扫描器，它能检测Web应用中的漏洞，例如SQL注入、跨站脚本攻击、认证页面弱密码长度等。它拥有操作简便的图形用户界面，并能生成专业的Web站点安全审计报告。

6. Watchfire AppScan：

   这也是一款商业级的Web漏洞扫描器。AppScan在应用程序开发周期的各个阶段提供安全测试，简化了组件测试和早期开发的安全保障。它能扫描众多常见漏洞，如跨站脚本攻击、HTTP响应拆分漏洞、参数篡改、隐式字段处理、后门/调试选项、缓冲区溢出等。

7. N-Stealth：

   N-Stealth是一款商业级的Web服务器安全扫描器。它的更新频率高于一些免费Web扫描器，如Whisker/libwhisker、Nikto等。需要注意的是，几乎所有通用的漏洞评估工具，如Nessus、ISS Internet Scanner、Retina、SAINT、Sara等，都包含Web扫描组件。N-Stealth主要针对Windows平台提供扫描服务，但不提供源代码。