网站安全与维护.pdfVIP

网站安全与维护

各位领导，各位同仁：

大家好。很荣幸有机会和大家一起探讨：关于网站安

全管理方面的知识。

首先我就正在网上热炒的——湖北荆州“黑客移植艳

照案”，来展开我们今天的话题。2008年12月4日，荆州市

商务局官方网站服务器两次遭黑客非法入侵，黑客还在报警

网站上留言，公然向我公安机关挑衅。此案目前正在互联网

上炒的沸沸扬扬。具体案情各大网站都有报道。我只简单介

绍一下此案的作案流程和防范措施。

此案主要嫌疑人张某2006年才接触计算机及网络，然

后通过一些黑客网站、技术论坛等学习网络入侵和攻击技

术，并发布过黑客攻击的视频教程。张某于12月4日在河

南濮阳用下载的一个黑客入侵工具，在网上进行扫描，他很

快发现荆州市商务局网站存在系统漏洞。张某随即通过入侵

工具以SQL数据库注入的方式获取了该网站的管理员账号、

密码以及后台管理路径，并顺利登录网站后台管理平台，然

后用一张“泳装”女郎的图片对原网站的“领导介绍”图片

进行了编辑替换，并将原“领导致辞”内容进行了删除和修

改。作案后，张某为炫耀其黑客技术，还通过QQ将“黑”

掉荆州商务局网站的消息和方法告知了其他QQ好友。其中

一好友按照张某所传授的方法，于次日另成1时在某网吧再

次入侵商务网站（但没有篡改数据）。而宜昌的两名嫌疑人

则是在网上看到关于荆州商务局网站遭入侵的报道后，出于

好奇和炫耀心理，也使用类似的网络入侵工具于12月7日

晚再次入侵该网站，并将“领导介绍”和“领导致辞”的内

容再次进行篡改和替换，还在我们网监部门的报警网站上留

言，炫耀其入侵技术。当然法网恢恢、疏而不漏。此案目前

已成功告破，来自河南濮阳和湖北宜昌的4名嫌疑人已被刑

事拘留。

案子虽然破了，但我们是不是应该思考一下…………据

CNCERT/CC监测到中国大陆被篡改网站总数累积达61228个，

比去年增加了1.5倍。中国大陆政府网站被篡改数量达3407

个。而2007年中国大陆政府网站被篡改各月累计达4234个。

一系列的数字和事实证明，我们在网站安全方面存在着重大

的隐患，有些政府部门对建设网站还是有些随意，而一些从

事技术支持的网络公司也疏于维护，为黑客入侵留下隐患；

另一方面，按照《刑法》第286条的规定：此案的4名犯罪

嫌疑人已涉嫌侵入计算机系统罪，但现在很多黑客对此认识

不够，仍然我行我素。所以今后我们在加大打击力度的同时，

还要把宣传相关法律，警示广大网民作为重要工作来抓。

一、以上是这起“黑客移植艳照案”整个作案流程，下面我

们来看清黑客非法入侵的基本步骤：

第一步、通过搜索引擎找到带有特征字符的网站↓

第二步、判断网站管理系统类型和版本↓

第三步、测试漏洞是否存在↓

第四步、利用漏洞攻击↓

第五步、留下后门↓

第六步、清除入侵痕迹

好，看清黑客的入侵步骤，我们从黑客攻击的技术层面和心

里层面这两个方面来分析：首先从技术层面分析，根据2007

年OWASP组织发布的Web应用程序脆弱性10大排名的统

计结果表明，跨站脚本、注入漏洞、跨站请求伪造、信息泄

露等方面的问题仍然是目前黑客流行的攻击方式：

一、SQL注入攻击：就是利用程序员在编写代码时没有对用

户输入数据的合法性进行判断，导致入侵者可以通过插入并

执行恶意SQL命令，获得数据读取和修改的权限；此类手段

最常用，也最有效。“黑客移植艳照案”就是用这种方式。

2、跨站脚本攻击：是通过在网页中加入恶意代码，当访问

者浏览网页时，恶意代码会被执行或者通过给管理员发信息

的方式诱使管理员浏览，从而获得管理员权限，控制整个网

站。

我们再从黑客攻击的心理层面来分析，所有的入侵者，

归结起来无非这么几种：

1、无意识破坏心理：有些网民在现实生活中不得志，

就幻想通过网络使自己扬名立万，篡改他人网站主页，并打

上自己的标记（如昵称，QQ号，网址等）。这些人的水平一

般不高，因为其入侵的目标是随机的，只是通过搜索引擎找

到特定的有公开漏洞的系统，然后利用现成的工具进行攻

击。但这类入侵者完全可以防范，平时安全意识高一些，是

能够阻止入侵的。

2、善意提醒心理

此类黑客并不以破坏为目的，他们会通过和管理员联系

或者留下警告页面来提醒管理员。这时我们的管理员同志要

注意了：切忌恼羞成怒，应用虚心的态度向对方求教，找出

漏洞所