网站防黑新招——将计就计

今早上坐车的时候，突然想到一个很好的点子，一个防黑新招——将计就计！

思路是有了，但是要实施起来应该也不难，先分享给大家，看看怎么样。

一般黑客得到一个像黑的网址，会先用扫描工具扫一下后台、上传文件、常见的漏洞目录（比如编辑器目录）等。当一个网站存在注入漏洞的时候，小黑很容易得到用户名密码，进而通过扫描后台直接用注入出来的用户名密码进入后台，于是webshell就不远了！

这个过程中，黑客入侵网站最重要的关键点在于“找到后台路径”。像dede织梦这样成千上万网站使用的CMS最容易出现注入漏洞，每次0day一出来，就会有大批的网站沦为垃圾外链场~为什么呢？因为很多站长不注重网站安全，默认后台懒得修改。

曾经在一个网络公司干过几天工作，公司里最牛叉的程序猿竟然对我说给客户的用户名密码尽量简单点，比如admin、admin123~哥啊，弱口令也是嘿嘿们的最爱啊！如果通过各种方法被人得到了后台帐号，就非常危险了。有时候，注入漏洞在所难免，不可避免的出现账号被盗。

在这个时候，你就得把后台把关好了！于是我想到的点子就有用了：

防黑新招——将计就计！在网站根目录下建立一个常见的后台文件夹（比如admin），然后在里面放一个简单的后台登入页面，不连接数据库，设置成无论输入任何帐号都弹出密码错误、账号不正确、或者验证码不正确，再一个更狠的方法就是显示登入成功，但是栏目设置等后台功能全部是静态文字，只是个样子，让你操作后台，让你想webshell，让你挂黑链……

设想黑客的心情，心情之一”终于找到后台地址了，为什么射出来的帐号总是提示错误呢？什么原因呢？难道这个0day不好用？%……#￥%*￥……“，心情二”好不容易找了个0day，好不容易注入出了后台帐号，有好不容易扫描出了后台地址（假的），有好不容易登入到后台，怎么就是操作不了了？郁闷死了~“

o(∩_∩)o 哈哈是不是很好玩？有兴趣、有时间的可以试一下！