刚才群聊的时候，很不幸看到了某小朋友自己亲手写的程序制作的企业站被人加挂了一堆的黑链和木马，根据我的经验，入侵的人还不是一个两个。等于是一个初级菜鸟黑客的教学实验基地了~

其实写木马的人未必会入侵人家的网站，入侵人网站的人未必会写程序，但是，东西到了人家手里，想做什么就是人家自己的事情了。
你要是真遇到一个懂程序还喜欢去人家后台看看的黑客，那他已经真的不是初级那简单了。。。

写下我所知道的 程序员在完成程序的时候应该注意的几个问题吧

① sql注入。我一般用啊d来检测。虽然很古老，但是用来检测下还是可以的~

② “or”=“or” 。曾经有个很知名的企业cms存在这个漏洞很久，我在初学的时候，也曾经在网吧通宵 google 此特征 的cms进行一番通杀~~~

③ 上传漏洞。iis曾经有个很著名的漏洞。很多程序员也不怎么注意这个，其实要是点子好，想拿下服务器还是很容易的~ 不只是IIS，现在很流行的nginx前端时间就爆了 类似的漏洞。nginx官方现在好像还没有给出相应的补丁升级~~~ 通杀基本是通杀，包括那些很知名的大站~

④ 编辑器 。很多编辑器其实都存在漏洞的，一般也是上传之类的，或者是一些你不知道的编辑器说不定就是将来毁掉你站的定时炸弹，所以在使用某些知名的编辑器的时候，一定要记得自己手动修改整理下，别图省事。要不你哭都没地方~~~

⑤ 弱口令和弱路径。admin、 admin888、 /admin/ 之类的就不要用了。刚才那小朋友给我的站，我就犹豫的使用“弱道”进去了。哎… 还在纳闷是怎么进去的呢。那个站，想进去。很多办法的~ 另外，千万不要指望你的客户能够看懂你的程序，千万不要指望他们自己去修改账号密码，和路径，他们意识不到~ 唯一的解决办法就是，你当他们是傻瓜，什么东西都自己搞定。以绝后患！！！

⑥ 目录权限。要是可以的话，尽量给那些可以上传的目录进行脚本运行的权限，这样，即使黑客们上传了 木马，也做不了什么。

其他的，尽量不要在后台做可以文件备份，重命名啊之类的东西，太危险。。。如果要做，就禁止对应的目录运行脚本和禁止跨目录修改，将权限就限制在那些不能运行脚本的目录中。至于怎么实现，看你程序的功底了。

饿了。等待下班回家吃饭~~~

此文完全原创~ 欢迎留言指正，欢迎补充交流~~~

声明：本文为耿振的博客 http://blog.bordf.com发布文章。转载务必注明出处

注意：转载须保留全文：请保留本文出处！否则耿振的博客将向你网站的主机商投诉。
本文永久地址:http://blog.bordf.com/438/

有4人发表了评论  ↓发表评论↓

• ＞﹏＜

  bigqing @ 2010年六月 12日 | 回复

  • 不服？

    bordf @ 2010年六月 12日 | 回复

• 我也饿了~~~~

  fxfuu @ 2010年六月 12日 | 回复

• ＞﹏＜

  leoo0 @ 2010年六月 12日 | 回复

Name (必填)

Mail (不会公开) (必填)

网站

表情：<(￣︶￣)> | (⊙ˍ⊙) | ＞﹏＜ | ｂ（￣▽￣）ｄ | （─.─||） | (^_-)

[ Ctrl+Enter提交 ]