是用这个的www.invchina.com、www.cnftrade.net、www.zgwl.net、www.manage.org.cn，还有那

些用其它免费脚本的那些网站，不自己看看代码，你们真的能放心吗？

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

附孤独剑客先生的评语：

    本人的个人站点_blank>http://www.janker.org  _blank>http://janker.126.com）做为国内的知名的安全

技术交流站点之一，自从1999年10月1日建立至今，访问量已达160多万人次，长期以来，一直为大

家提供免费技术资料和技术交流沟通的场所，但由于其在国内安全界的特殊地位，很多安全爱好者

把本站当作了挑战目标也在情理之中，从日志分析可以看出janker.org经历了超过10万次以上的尝

试入侵，经受了多次DDOS攻击，但到目前为止，尚没有人能够实现更改网站首页或获得管理员权限

，在此我把管理维护经验和大家做一下交流，分析内容见下：

（1）N.E.V.E.R成功破解文章管理员密码的过程分析

我的站点很久以来一直是采用静态页面的方式，尽管这样做站点会更安全，但却更新麻烦交流不方

便，不能够为大家提供更及时的技术服务，加上本人工作繁忙，不可能把很多精力投入到这上面来

，所以就采用了折中的方法，那就是使用免费的文章和下载及论坛系统，尽管我对服务器本身做了

标准的安全设置和处理，但不可能是去阅读上万行的第三方代码，要求一般的脚本程序员写出安全

的代码也不太现实，N.E.V.E.R正是利用了脚本代码对页面提交的变量（GET或POST）检查不严而嵌

入了非法的SQL查询，从而可以非授权访问数据库的内容。事实上，在此之前已经有一位QQ上的

叫.PsKey的朋友利用此方法猜出了密码，由此可见注入SQL查询攻击已经为多人所掌握，并且在防

火墙和反病毒软件已经为基本安全配置的如今，脚本攻击将会长期存在下去，而成为影响网络安全

的一个重要因素，就目前而言，防范的主要方法为编写安全的脚本代码和设置安全的服务器系统。

（2）N.E.V.E.R没能够实现更改网站首页的原因
要实现更改首页内容，可从两个方面入手，一是直接修改首页文件，二是修改数据库内容，因为首

页调用了数据库的一些数据。对于前者由于首页文件设置了只有系统管理员才有写的权限，其它用

户都是只读权限，所以在没有获得系统管理员权限的情况下，想更改是几乎不可能的；对于后者而

言，由于数据库文件和首页文件设置了相同的权限，所以可能性不大，也许有的人会问那怎么更新

，其实方法很简单，那就是需要更新的时候先设置一般用户对数据库文件可写，更新完毕再设置成

只读，虽然麻烦了但却增加了安全性。并且，若不能够进入文章管理界面的话，即便拥有用户账号

和密码要实现修改数据库也是比较困难的，当然若有人乐意为我修改为安全代码的话，可能会为我

省去这麻烦，但可能省不去的是仍然会有被同样手法攻击的可能，因为修改者也无法保证他修改后

就一定安全了，毕竟新的不安全因素是潜在不可预测的。

（3）N.E.V.E.R很难在janker.org上实现权限提升的依据
权限提升的方法有很多种，但不外是漏洞利用、密码破解和欺骗伪装等手段，只要安全处理得当，

实现起来也并不容易，janker.org是通过以下处理来保障服务器安全的。
1、系统和应用软件均保持安装了最新的安全补丁程序。
2、去掉了服务器中不必要的服务和软件系统并设置了严格的文件目录和用户访问权限。
3、系统中没有无用的用户账号存在，且设置了复杂密码。
4、利用系统自身的端口过滤功能封闭了不必要的端口，并禁止不必要的外连。
5、安装有自动更新功能的反病毒软件。
6、安装有进程监控软件，除设定的程序

上一页  [1] [2] [3] [4] [5] 下一页