https://url365.club/為什么打不開了

為什么打不開了

創(chuàng)新互聯(lián)建站專注于都安網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠為您提供都安營銷型網(wǎng)站建設(shè)，都安網(wǎng)站制作、都安網(wǎng)頁設(shè)計(jì)、都安網(wǎng)站官網(wǎng)定制、微信小程序定制開發(fā)服務(wù)，打造都安網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供都安網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

一、網(wǎng)站打不開有哪些原因?

原因一：域名到期或是網(wǎng)站服務(wù)器，或者建站系統(tǒng)到期了

原因二：瀏覽器問題

這種情況也是比較常見的，有可能是你的瀏覽器設(shè)置了安全級(jí)別導(dǎo)致的。

原因三：空間問題

服務(wù)器到期，或者是沒有綁定域名，服務(wù)器買的國外的，這都有可能會(huì)影響打開網(wǎng)站的。

原因四：網(wǎng)站或者服務(wù)器存在漏洞

網(wǎng)站或服務(wù)器被黑客攻擊注入了非法信息，比如博彩，賭博類信息，導(dǎo)致被百度，微信安全中心攔截?；蛘卟粩嗟恼?qǐng)求服務(wù)器，導(dǎo)致虛擬主機(jī)流量耗盡以及服務(wù)器癱瘓。

盤點(diǎn)信息安全常見的Web漏洞

一、SQL注入漏洞

SQL 注入攻擊（ SQL Injection ），簡稱注入攻擊、SQL注入，被廣泛用于非法獲取網(wǎng)站控制權(quán)，是發(fā)生在應(yīng)用程序的數(shù)據(jù)庫層上的安全漏洞。在設(shè)計(jì)程序，忽略了對(duì)輸入字符串中夾帶的SQL指令的檢查，被數(shù)據(jù)庫誤認(rèn)為是正常的SQL指令而運(yùn)行，從而使數(shù)據(jù)庫受到攻擊，可能導(dǎo)致數(shù)據(jù)被竊取、更改、刪除，以及進(jìn)一步導(dǎo)致網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害。

通常情況下， SQL 注入的位置包括：

（1）表單提交，主要是POST 請(qǐng)求，也包括GET 請(qǐng)求；

（2）URL 參數(shù)提交，主要為GET 請(qǐng)求參數(shù)；

（3）Cookie 參數(shù)提交；

（4）HTTP 請(qǐng)求頭部的一些可修改的值，比如Referer 、User_Agent 等；

（5）一些邊緣的輸入點(diǎn)，比如.mp3 文件的一些文件信息等。

SQL注入的危害不僅體現(xiàn)在數(shù)據(jù)庫層面上， 還有可能危及承載數(shù)據(jù)庫的操作系統(tǒng)；如果SQL 注入被用來掛馬，還可能用來傳播惡意軟件等，這些危害包括但不局限于：

（1）數(shù)據(jù)庫信息泄漏：數(shù)據(jù)庫中存放的用戶的隱私信息的泄露。作為數(shù)據(jù)的存儲(chǔ)中心，數(shù)據(jù)庫里往往保存著各類的隱私信息， SQL 注入攻擊能導(dǎo)致這些隱私信息透明于攻擊者。

（2）網(wǎng)頁篡改：通過操作數(shù)據(jù)庫對(duì)特定網(wǎng)頁進(jìn)行篡改。

（3）網(wǎng)站被掛馬，傳播惡意軟件：修改數(shù)據(jù)庫一些字段的值，嵌入網(wǎng)馬鏈接，進(jìn)行掛馬攻擊。

（4）數(shù)據(jù)庫被惡意操作：數(shù)據(jù)庫服務(wù)器被攻擊，數(shù)據(jù)庫的系統(tǒng)管理員帳戶被篡改。

（5）服務(wù)器被遠(yuǎn)程控制，被安裝后門。經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng)。

（6）破壞硬盤數(shù)據(jù)，癱瘓全系統(tǒng)。

二、跨站腳本漏洞

跨站腳本攻擊（Cross-site scripting，通常簡稱為XSS）發(fā)生在客戶端，可被用于進(jìn)行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。

XSS攻擊使用到的技術(shù)主要為HTML和Javascript，也包括VBScript和ActionScript等。XSS攻擊對(duì)WEB服務(wù)器雖無直接危害，但是它借助網(wǎng)站進(jìn)行傳播，使網(wǎng)站的使用用戶受到攻擊，導(dǎo)致網(wǎng)站用戶帳號(hào)被竊取，從而對(duì)網(wǎng)站也產(chǎn)生了較嚴(yán)重的危害。

XSS類型包括：

（1）非持久型跨站：即反射型跨站腳本漏洞，是目前最普遍的跨站類型?？缯敬a一般存在于鏈接中，請(qǐng)求這樣的鏈接時(shí)，跨站代碼經(jīng)過服務(wù)端反射回來，這類跨站的代碼不存儲(chǔ)到服務(wù)端（比如數(shù)據(jù)庫中）。上面章節(jié)所舉的例子就是這類情況。 （2）持久型跨站：這是危害最直接的跨站類型，跨站代碼存儲(chǔ)于服務(wù)端（比如數(shù)據(jù)庫中）。常見情況是某用戶在論壇發(fā)貼，如果論壇沒有過濾用戶輸入的Javascript代碼數(shù)據(jù)，就會(huì)導(dǎo)致其他瀏覽此貼的用戶的瀏覽器會(huì)執(zhí)行發(fā)貼人所嵌入的Javascript代碼。 （3）DOM跨站（DOM XSS）：是一種發(fā)生在客戶端DOM（Document Object Model文檔對(duì)象模型）中的跨站漏洞，很大原因是因?yàn)榭蛻舳四_本處理邏輯導(dǎo)致的安全問題。

三、弱口令漏洞

弱口令(weak password) 沒有嚴(yán)格和準(zhǔn)確的定義，通常認(rèn)為容易被別人（他們有可能對(duì)你很了解）猜測(cè)到或被破解工具破解的口令均為弱口令。設(shè)置密碼通常遵循以下原則：

（1）不使用空口令或系統(tǒng)缺省的口令，這些口令眾所周知，為典型的弱口令。

（2）口令長度不小于8個(gè)字符。

（3）口令不應(yīng)該為連續(xù)的某個(gè)字符（例如：AAAAAAAA）或重復(fù)某些字符的組合（例如：tzf.tzf.）。

（4）口令應(yīng)該為以下四類字符的組合，大寫字母(A-Z)、小寫字母(a-z)、數(shù)字(0-9)和特殊字符。每類字符至少包含一個(gè)。如果某類字符只包含一個(gè)，那么該字符不應(yīng)為首字符或尾字符。

（5）口令中不應(yīng)包含本人、父母、子女和配偶的姓名和出生日期、紀(jì)念日期、登錄名、E-mail地址等等與本人有關(guān)的信息，以及字典中的單詞。

（6）口令不應(yīng)該為用數(shù)字或符號(hào)代替某些字母的單詞。

（7）口令應(yīng)該易記且可以快速輸入，防止他人從你身后很容易看到你的輸入。

（8）至少90天內(nèi)更換一次口令，防止未被發(fā)現(xiàn)的入侵者繼續(xù)使用該口令。

四、HTTP報(bào)頭追蹤漏洞

HTTP/1.1（RFC2616）規(guī)范定義了HTTP TRACE方法，主要是用于客戶端通過向Web服務(wù)器提交TRACE請(qǐng)求來進(jìn)行測(cè)試或獲得診斷信息。當(dāng)Web服務(wù)器啟用TRACE時(shí)，提交的請(qǐng)求頭會(huì)在服務(wù)器響應(yīng)的內(nèi)容（Body）中完整的返回，其中HTTP頭很可能包括Session Token、Cookies或其它認(rèn)證信息。

攻擊者可以利用此漏洞來欺騙合法用戶并得到他們的私人信息。該漏洞往往與其它方式配合來進(jìn)行有效攻擊，由于HTTP TRACE請(qǐng)求可以通過客戶瀏覽器腳本發(fā)起（如XMLHttpRequest），并可以通過DOM接口來訪問，因此很容易被攻擊者利用。

五、Struts2遠(yuǎn)程命令執(zhí)行漏洞

ApacheStruts是一款建立Java web應(yīng)用程序的開放源代碼架構(gòu)。Apache Struts存在一個(gè)輸入過濾錯(cuò)誤，如果遇到轉(zhuǎn)換錯(cuò)誤可被利用注入和執(zhí)行任意Java代碼。 網(wǎng)站存在遠(yuǎn)程代碼執(zhí)行漏洞的大部分原因是由于網(wǎng)站采用了Apache Struts Xwork作為網(wǎng)站應(yīng)用框架，由于該軟件存在遠(yuǎn)程代碼執(zhí)高危漏洞，導(dǎo)致網(wǎng)站面臨安全風(fēng)險(xiǎn)。

六、文件上傳漏洞

文件上傳漏洞通常由于網(wǎng)頁代碼中的文件上傳路徑變量過濾不嚴(yán)造成的，如果文件上傳功能實(shí)現(xiàn)代碼沒有嚴(yán)格限制用戶上傳的文件后綴以及文件類型，攻擊者可通過Web訪問的目錄上傳任意文件，包括網(wǎng)站后門文件（ webshell ），進(jìn)而遠(yuǎn)程控制網(wǎng)站服務(wù)器。因此，在開發(fā)網(wǎng)站及應(yīng)用程序過程中，需嚴(yán)格限制和校驗(yàn)上傳的文件，禁止上傳惡意代碼的文件。同時(shí)限制相關(guān)目錄的執(zhí)行權(quán)限，防范webshell攻擊。

七、私有IP地址泄露漏洞

IP地址是網(wǎng)絡(luò)用戶的重要標(biāo)示，是攻擊者進(jìn)行攻擊前需要了解的。獲取的方法較多，攻擊者也會(huì)因不同的網(wǎng)絡(luò)情況采取不同的方法，如：在局域網(wǎng)內(nèi)使用Ping指令， Ping對(duì)方在網(wǎng)絡(luò)中的名稱而獲得IP；在Internet上使用IP版的QQ直接顯示。最有效的辦法是截獲并分析對(duì)方的網(wǎng)絡(luò)數(shù)據(jù)包。攻擊者可以找到并直接通過軟件解析截獲后的數(shù)據(jù)包的IP 包頭信息，再根據(jù)這些信息了解具體的IP。

針對(duì)最有效的“數(shù)據(jù)包分析方法”而言，就可以安裝能夠自動(dòng)去掉發(fā)送數(shù)據(jù)包包頭IP信息的一些軟件。不過使用這些軟件有些缺點(diǎn)， 譬如：耗費(fèi)資源嚴(yán)重，降低計(jì)算機(jī)性能；訪問一些論壇或者網(wǎng)站時(shí)會(huì)受影響；不適合網(wǎng)吧用戶使用等等。

現(xiàn)在的個(gè)人用戶采用最普及隱藏IP 的方法應(yīng)該是使用代理，由于使用代理服務(wù)器后，“轉(zhuǎn)址服務(wù)”會(huì)對(duì)發(fā)送出去的數(shù)據(jù)包有所修改，致使“數(shù)據(jù)包分析”的方法失效。一些容易泄漏用戶IP 的網(wǎng)絡(luò)軟件(QQ 、MSN 、IE 等)都支持使用代理方式連接Internet ，特別是QQ 使用“ ezProxy ”等代理軟件連接后， IP版的QQ都無法顯示該IP地址。雖然代理可以有效地隱藏用戶IP，但攻擊者亦可以繞過代理， 查找到對(duì)方的真實(shí)IP地址，用戶在何種情況下使用何種方法隱藏IP，也要因情況而論。

八、未加密登錄請(qǐng)求

由于Web 配置不安全， 登陸請(qǐng)求把諸如用戶名和密碼等敏感字段未加密進(jìn)行傳輸，攻擊者可以竊聽網(wǎng)絡(luò)以劫獲這些敏感信息。

九、敏感信息泄露漏洞

SQL 注入、XSS、目錄遍歷、弱口令等均可導(dǎo)致敏感信息泄露，攻擊者可以通過漏洞獲得敏感信息。

Web應(yīng)用漏洞原理

Web應(yīng)用攻擊是攻擊者通過瀏覽器或攻擊工具，在URL或者其它輸入?yún)^(qū)域（如表單等），向Web服務(wù)器發(fā)送特殊請(qǐng)求，從中發(fā)現(xiàn)Web應(yīng)用程序存在的漏洞，從而進(jìn)一步操縱和控制網(wǎng)站，查看、修改未授權(quán)的信息。

web服務(wù)器上的漏洞主要有

1、系統(tǒng)漏洞，例如系統(tǒng)權(quán)限太寬松、有危險(xiǎn)的服務(wù)未關(guān)閉

2、網(wǎng)站漏洞，SQL注入，在線上傳等等

3、軟件漏洞，例如sql server等

建議你找【護(hù)衛(wèi)神】做下安全加固，他們家的入侵防護(hù)系統(tǒng)很不錯(cuò)。專門防御web服務(wù)器安全。

我的網(wǎng)站又被掛馬了怎么解決？

1、掃描掛馬的目錄

掃描后將掛馬文件刪除，掛馬文件會(huì)篡改頁面內(nèi)容，如果是生成文件則需要進(jìn)行重新生成，如果是靜態(tài)非生成文件，則需要把備份文件還原回去，如果沒有備份文件我們則需要進(jìn)行代碼重新編輯刪除被掛馬篡改的部分內(nèi)容。

2、程序目錄查看修改時(shí)間

利用軟件篩選出的掛馬文件不一定是全部的文件，部分文件隱藏的比較深，這時(shí)候需要進(jìn)行手動(dòng)點(diǎn)開我們網(wǎng)站程序目錄進(jìn)行修改時(shí)間查看，一般日期比較不一致的都有可能是掛馬文件的變形，這時(shí)候我們可以針對(duì)性的查看進(jìn)行刪除。

3、將網(wǎng)站安全加固

網(wǎng)站掛馬清除后一定要記得將網(wǎng)站安全加固，首先文件用戶權(quán)限是一個(gè)非常重要的操作，對(duì)于不需要進(jìn)行寫入修改的文件權(quán)限我們要進(jìn)行文件權(quán)限修改為只讀。

4、修復(fù)網(wǎng)站漏洞

很多網(wǎng)站經(jīng)常采用別人的模板來建站或者是后臺(tái)可能是市面上流傳的一些通用后臺(tái)例如織夢(mèng)后臺(tái)，帝國后臺(tái)等等都可能純?cè)诎姹韭┒?，建議升級(jí)到最新版。

5、網(wǎng)站上傳審計(jì)

很多網(wǎng)站都有注冊(cè)發(fā)帖功能，而很多都是通過這個(gè)漏洞進(jìn)行上傳篡改掛馬文件，所以我們的網(wǎng)站在上傳的這塊功能上如果不是必須可以進(jìn)行刪除，或者對(duì)其發(fā)布上傳的權(quán)限另外歸檔權(quán)限確保不會(huì)影響到本身網(wǎng)站。

分享文章：網(wǎng)站服務(wù)器存在安全漏洞 網(wǎng)站安全服務(wù)器安全
標(biāo)題鏈接：http://jinyejixie.com/article2/dophiic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、關(guān)鍵詞優(yōu)化、網(wǎng)站內(nèi)鏈、服務(wù)器托管、企業(yè)網(wǎng)站制作、虛擬主機(jī)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)