大学的生活很精彩,也同时很枯燥。我这样说是因为我上过本科,知道学校生活的上千种姿态。大批大批的优秀人才出自大学,但也不乏有名校培养出来的寄生虫,他们很聪明,智慧高于常人,也许他们心中有故事吧。愤怒、焦虑、不满,长时间的压抑导致他们内心像文森特的星月夜一样扭曲,正上演着一起起报复和入侵的故事…
毋庸置疑,绑架、杀人这样愚蠢的报复方式不是他们的最佳选择,而对于学校网站的破坏和攻击才是他们的乐趣所在,丧性又贪婪。像是享受世上最可口的美食和大麻,这种欲望一旦上瘾,将一发不可收拾。
我们都知道学校网站其实相对比企业的网站更加容易受到攻击,下面蒙特学校网站建设公司防黑专员对当前大学教育站点所存在的一些常见漏洞以及渗透攻击方式进行一个简单的分析:
一通用版的编辑器
学校网站建设假如使用了ewebeditor的站点,通常使用的两个办法:它可以监测默认的学校网站后台地址,像ewebeditor/admin_login.asp等,还可以探测ewebeditor的数据库,那么接下去得到webshell就是探囊取物的事情了,那么作为学校网站管理人员,该如何去防止这些入侵行为呢?
其实方法不难,但是你要认真听,并做好笔记。首先登录后台,修改密码,然后使用ftp工具登录网站空间,删除admin_login.asp文件,如果不需要上传的话,最好连upload.asp也一起删除掉(通常是需要的),假如被入侵者首占先机,那么它也可以在webshell中来执行这些操作,学校站点就会任其宰割。
二网站后台的帐号隐患
对于"'or'='or'"或者admin/admin来说,这种弱口令的逐渐逝击,入侵者们早就已经看不上眼了,他们会利用社工来判断这些弱口令,比“发稿人:lpc”这几个关键字,那么在谷歌中输入“site:目标站点intext-发稿人”就可以搜索出许多和他相关的资料了。那么为什么要这么做的,因为发稿人一般使用的都是后台帐号,只需要把这些发稿人的帐号搞到手,那么就可以尽情的社工了。
三程序都是学生负责编写、备份和上传
因为是学生,所以专业的技能和IT知识实在欠缺,更别提什么防入侵了。一些上传代码就直接使用了一些以前的CMS代码,对于上传的截断漏洞很多的可谓是遍地都是,上百度一查都能霸屏,在备份文件的时候往往会弄个web.rar或者“域名.rar”这种很容易被社工出的文件名来作为备份,可想而知,这些文件有多么容易猜测,那么你说这样的学校站点还有什么安全性可言。说句不是太中听的话:假如一个天赋优良的六年级小学生,让他读一天的百度知道里面的大学网站存在诸多漏洞的问题和易入侵的方面知识,相信能在短短几天之内,让一所本科学校网站顷刻之间到达报废的效果。
学校,不仅仅是培养人才的地方,也是对广大学生的个人信息,教育体制信息维护和保障的地方,若是因不堪一击的而学校网站丢失了这些重要的东西,那造成的经济和社会损失是难以衡量的。
作为学校网站建设及防入侵的经验老者、网站资深定制服务商蒙特想说一句:专业的建站事情交给专业的人做,学校领导们,为了众多的莘莘学子,请保持一份责任。
大学的生活很精彩,也同时很枯燥。我这样说是因为我上过本科,知道学校生活的上千种姿态。大批大批的优秀人才出自大学,但也不乏有名校培养出来的寄生虫,他们很聪明,智慧高于常人,也许他们心中有故事吧。愤怒、焦虑、不满,长时间的压抑导致他们内心像文森特的星月夜一样扭曲,正上演着一起起报复和入侵的故事…
毋庸置疑,绑架、杀人这样愚蠢的报复方式不是他们的最佳选择,而对于学校网站的破坏和攻击才是他们的乐趣所在,丧性又贪婪。像是享受世上最可口的美食和大麻,这种欲望一旦上瘾,将一发不可收拾。
我们都知道学校网站其实相对比企业的网站更加容易受到攻击,下面蒙特学校网站建设公司防黑专员对当前大学教育站点所存在的一些常见漏洞以及渗透攻击方式进行一个简单的分析:
一通用版的编辑器
学校网站建设假如使用了ewebeditor的站点,通常使用的两个办法:它可以监测默认的学校网站后台地址,像ewebeditor/admin_login.asp等,还可以探测ewebeditor的数据库,那么接下去得到webshell就是探囊取物的事情了,那么作为学校网站管理人员,该如何去防止这些入侵行为呢?
其实方法不难,但是你要认真听,并做好笔记。首先登录后台,修改密码,然后使用ftp工具登录网站空间,删除admin_login.asp文件,如果不需要上传的话,最好连upload.asp也一起删除掉(通常是需要的),假如被入侵者首占先机,那么它也可以在webshell中来执行这些操作,学校站点就会任其宰割。
二网站后台的帐号隐患
对于"'or'='or'"或者admin/admin来说,这种弱口令的逐渐逝击,入侵者们早就已经看不上眼了,他们会利用社工来判断这些弱口令,比“发稿人:lpc”这几个关键字,那么在谷歌中输入“site:目标站点intext-发稿人”就可以搜索出许多和他相关的资料了。那么为什么要这么做的,因为发稿人一般使用的都是后台帐号,只需要把这些发稿人的帐号搞到手,那么就可以尽情的社工了。
三程序都是学生负责编写、备份和上传
因为是学生,所以专业的技能和IT知识实在欠缺,更别提什么防入侵了。一些上传代码就直接使用了一些以前的CMS代码,对于上传的截断漏洞很多的可谓是遍地都是,上百度一查都能霸屏,在备份文件的时候往往会弄个web.rar或者“域名.rar”这种很容易被社工出的文件名来作为备份,可想而知,这些文件有多么容易猜测,那么你说这样的学校站点还有什么安全性可言。说句不是太中听的话:假如一个天赋优良的六年级小学生,让他读一天的百度知道里面的大学网站存在诸多漏洞的问题和易入侵的方面知识,相信能在短短几天之内,让一所本科学校网站顷刻之间到达报废的效果。
学校,不仅仅是培养人才的地方,也是对广大学生的个人信息,教育体制信息维护和保障的地方,若是因不堪一击的而学校网站丢失了这些重要的东西,那造成的经济和社会损失是难以衡量的。
作为学校网站建设及防入侵的经验老者、网站资深定制服务商蒙特想说一句:专业的建站事情交给专业的人做,学校领导们,为了众多的莘莘学子,请保持一份责任。