各位站长朋友大伙好，其实本人不善于书写东西，但是看到站长站有这样一个活动，又忍不住上来献一下丑，我主要从以下几个方面阐述一下我对WEB安全总结的经验，文章非常适合站长朋友，不多说了，进入正题。

　　1、sql 注入漏洞

　　对于sql注入漏洞我在这里就不多说了，baidu一下你就知道，但是有几点大家还得注意，那就是为什么，我的站做了防止注入，还是被注入了呢？

　　其实大家都知道数据WEB传值大多分为两种，一是GET方式Url传值适合一些简短数据传送，二是Post传值我们一般在添加文章或是发表Blog的时候用的都是Post传值，一般Sql注入都是在这两种传值的基础上产生的。

　　其实还有一种传值那就是Cookies传值，我们在用一些论坛或是文章系统的时候通常都会看到登陆保存时间，下次打开这个网站的时候就会显示以登陆的状态，这就是Cookies传值，其实我们每浏览一次网站都会在本地存在一个Cookies的，

　　那么我们伪造这些Cookies值就会达到 Cookies 注入了。现在大多站长用的都是通用的Sql防注入程序，这个程序大多只对 Get 和 Post 传值做了过滤没有对Cookies过滤所以导致注入。

　　在有一种就是对Url进行编码或是改变传值参数的大小写来扰过防注入程序。

　　总结一下，大家在做好Get、Post、Cookies防注入的同时也要考虑到编码问题。

　　2、数据安全

　　数据库安全其实很主要了，现在的数据大多都用Mssql、Access、Mysql，在这里我种点说一说Mssql和Access安全。

　　Mssql数据库运行是以管理员身份运行的，所以Mssql安全非常主要，网站的安全做的在好，程序写的在好，数据出现漏洞等于什么也没有做，首先每个网站要单独分配一个Sql的用户对应操作的数据库，要把用户的权限给到最小，通信端口1433不可以外部连接，加固SA的密码，打好所有的朴丁文件，还要删除所有有危害的扩展，具体的方法可以登陆长春黑客网查询。

　　Access数据库相对来说安全一些，大家讨论都是防止Access数据库的下载，我认为这个非常没有必要，想一下，黑客下载数据的目的是什么？那就是破解密码，有很多朋友数据库命名的时候加了很多特殊的字符，其实这样是没有用的比如说#db.mdb那么把#换成%23db.mdb就可以下载了，说白了也就是转换一下编码，在就是用火狐去下载有特殊字符串的数据库，很有效的哟呵呵，要想不让黑客通过Url下载最好的就是在IIS上把.mdb解析到一个不可执行的文件上就OK了。如果数据没有很重要的资料那么可以把数据里密码用Sha1或是Sha1二次加密方式来加密你的密码，加密方式都是不可逆的，如果你用Md5加密我建议你的密码最好是汉字，用汉字现在Md5破解网站是很难破解的。

　　注：http://www.ccheike.cn/sha1.rar 下载sha1加密程序

　　重点说一下，有很多朋友都把数据库扩展改成.asp 或是 .asa我一直想不通为什么要改成可执行脚本文件，这样很容易中一句话小马的，数据库插马是一种很常见的入侵方式，大多都是插到数据库里面，用于直接执行或是备份大马，千里之堤崩与蚁穴啊。

　　3、服务器安全

　　大多朋友都是租用的主机来做自己的站，或是买VPS，其实大多入侵方式也都是旁敲侧击的，也就是说大伙常说的旁注，就是通过入侵服务器上的其他站点来达到入侵目标站点，这样一来服务器的安全就是重中之重了。

　　先说一下我的服务器是怎么配置的吧，所有硬盘只给administrator或system所有权限，有几个特别的目录我会写在下面，大家也可以去长春黑客网查一下，我是把每个站都分配一个不同的用户，而且每个用户的权限都是Gest权限，然后把这个用户分配给网站所在的文件夹，现在有很多的服务器都是所有网站用一个用户，虽然说这个用户的权限很少，但是还是可以跨目录操作的，这样很不安全，还有一些用虚拟主机管理软件，如果是自己的服务器而且站不是太多，我不建议大家用虚拟主机管理软件，有很多主机管理软件都有漏洞的。

　　一定要注销WScript.Shell 和 Shell.application 组建

　　在开始运行里输入这两个命令，有的注销完后还删除这两个组件的文件，我个人认为就没有这个必要了。

　　4、第三方软件安全

　　大家都会在服务器上安装FTP管理软件而且大多都用ser-u，其实ser-u漏洞还是比较广泛被利用的，最常用的就是ser-u本地提权了。漏洞是使用Serv-u本地默认管理端口，以默认管理员登陆新建域和用户来执行命令，Serv-u>3.x版本默认本地管理端口是：43958，默认管理员：LocalAdministrator，默认密码：#l@$ak#.lk;0@P，这是集成在Serv-u内部的，可以以Guest权限来进行连接，对Serv-u进行管理。一般防止方法：改掉默认密码，设置目录权限，通过去掉Web目录iusr用户的执行权限来防止使用Webshell来运行Exp程序。

　　pcanywhere 这个就是大家用来管理自己服务器的软件，他的密码文件通常都会存在C：\Documents and Settings\All Users\ Documents目录下，如果网站被挂马的话黑客可以下载密码文件回来破解，这样就可以管理你的服务器了，我个人还是推荐用远程桌面来管理服务器

　　5、IIS解析漏洞

　　也就是在网站下建立一个以.asp结尾的文件夹，然后上传代一句话小马的jpg文件，这样就可以执行了，不信的话各位站长可以试一试哟，在一个就是网站可以上传1.asp.jpg这样的文件也是可以执行asp脚本的，这个漏洞一出有N多网站被挂了。防范措施现在只能是在写程序的时候做过滤，方法很多，在这里就不说了，还有就是在IIS里面把不用执行脚本的目录去掉执行权限，这样做还是很安全的。

　　今天就说这么多吧，其实还有很多没有写进去，写的不好，还请各位大侠担待，有不对的地方还请指正。