网站防黑新招——将计就计
今早上坐车的时候,突然想到一个很好的点子,一个防黑新招——将计就计!
思路是有了,但是要实施起来应该也不难,先分享给大家,看看怎么样。
一般黑客得到一个像黑的网址,会先用扫描工具扫一下后台、上传文件、常见的漏洞目录(比如编辑器目录)等。当一个网站存在注入漏洞的时候,小黑很容易得到用户名密码,进而通过扫描后台直接用注入出来的用户名密码进入后台,于是webshell就不远了!
这个过程中,黑客入侵网站最重要的关键点在于“找到后台路径”。像dede织梦这样成千上万网站使用的CMS最容易出现注入漏洞,每次0day一出来,就会有大批的网站沦为垃圾外链场~为什么呢?因为很多站长不注重网站安全,默认后台懒得修改。
曾经在一个网络公司干过几天工作,公司里最牛叉的程序猿竟然对我说给客户的用户名密码尽量简单点,比如admin、admin123~哥啊,弱口令也是嘿嘿们的最爱啊!如果通过各种方法被人得到了后台帐号,就非常危险了。有时候,注入漏洞在所难免,不可避免的出现账号被盗。
在这个时候,你就得把后台把关好了!于是我想到的点子就有用了:
防黑新招——将计就计!在网站根目录下建立一个常见的后台文件夹(比如admin),然后在里面放一个简单的后台登入页面,不连接数据库,设置成无论输入任何帐号都弹出密码错误、账号不正确、或者验证码不正确,再一个更狠的方法就是显示登入成功,但是栏目设置等后台功能全部是静态文字,只是个样子,让你操作后台,让你想webshell,让你挂黑链……
设想黑客的心情,心情之一”终于找到后台地址了,为什么射出来的帐号总是提示错误呢?什么原因呢?难道这个0day不好用?%……#¥%*¥……“,心情二”好不容易找了个0day,好不容易注入出了后台帐号,有好不容易扫描出了后台地址(假的),有好不容易登入到后台,怎么就是操作不了了?郁闷死了~“
o(∩_∩)o 哈哈是不是很好玩?有兴趣、有时间的可以试一下!