入侵后，未被及時(shí)發(fā)現(xiàn)有些通過篡改網(wǎng)頁來傳播一些非法信息或炫耀自己的水平，但篡改網(wǎng)頁之前，肯定基于對漏洞的利用，獲得了網(wǎng)站控制權(quán)限。這不是可怕的，因?yàn)樵讷@取權(quán)限后沒有想要隱蔽自己，反而是通過篡改網(wǎng)頁暴露自己，這雖然對網(wǎng)站造成很多影響，但本身未獲得直接利益。更可怕的是，在獲取網(wǎng)站的控制權(quán)限之后，并不暴露自己，而是利用所控制網(wǎng)站產(chǎn)生直接利益;網(wǎng)頁掛馬就是一種利用網(wǎng)站，將瀏覽網(wǎng)站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式。訪問網(wǎng)站而被種植木馬的人通常也不知情，導(dǎo)致一些用戶的機(jī)密信被取。網(wǎng)站成了散布木馬的一個(gè)渠道。網(wǎng)站本身雖然能夠提供正常服務(wù)，但訪問網(wǎng)站的人卻遭受著木馬程序的危害。這種方式下，們通常不會暴露自己，反而會盡量隱蔽，正好比暗難防，所以很多網(wǎng)站被掛木馬數(shù)月仍然未被察覺。由于掛馬原理是木馬本身并非在網(wǎng)站本地，而是通過網(wǎng)頁中加載一個(gè)能夠讓瀏覽者自動建立另外的連接完成木馬，而這一切動作是可以很隱蔽的完成，各個(gè)用戶不可見，因此這種情況下網(wǎng)站本地的軟件也無法發(fā)現(xiàn)這個(gè)掛馬實(shí)體。
SQL注入漏洞測試方法在程序代碼里不管是get提交，提交，cookies的方式，都可以有隨意控制參數(shù)的一個(gè)參數(shù)值，通過使用sql注入工具，經(jīng)典的sqlmap進(jìn)行檢測與漏洞利用，也可以使用一些國內(nèi)的SQL代碼注入工具，簡單的安全測試方法就是利用數(shù)據(jù)庫的單引號，AND1=1AND1=2等等的字符型注入來進(jìn)行測試sql注入漏洞。
SQL注入漏洞解剖在網(wǎng)站的程序代碼里，有很多用戶需要提交的一些參數(shù)值，像get、的數(shù)據(jù)提交的時(shí)候，有些程序員沒有對其進(jìn)行詳細(xì)的安全過濾，導(dǎo)致可以直接執(zhí)行SQL語句，在提交的參數(shù)里，可以摻入一些惡意的sql語句命令，比如查詢admin的賬號密碼，查詢數(shù)據(jù)庫的版本，以及查詢用戶的賬號密碼，執(zhí)行寫入一句話木馬到數(shù)據(jù)庫配置文檔，執(zhí)行系統(tǒng)命令提權(quán)，等等.
SQL注入漏洞修復(fù)在底層的程序代碼里，進(jìn)行sql漏洞修補(bǔ)與防護(hù)，在代碼里添加過濾一些惡意的參數(shù)，服務(wù)器端綁定變量，SQL語句標(biāo)準(zhǔn)化，是防止網(wǎng)站被sql注入攻擊的好辦法。Sine安全公司是一家專注于：網(wǎng)站安全、服務(wù)器安全、網(wǎng)站安全檢測、網(wǎng)站漏洞修復(fù)，滲透測試，安全服務(wù)于一體的網(wǎng)絡(luò)安全服務(wù)提供商。一、程序代碼里的所有查詢語句，使用標(biāo)準(zhǔn)化的數(shù)據(jù)庫查詢語句API接口，設(shè)定語句的參數(shù)進(jìn)行過濾一些惡意的字符，防止用戶輸入惡意的字符傳入到數(shù)據(jù)庫中執(zhí)行sql語句。
二、對用戶提交的的參數(shù)安全過濾，像一些的字符（，（）*&……%#等等）進(jìn)行字符轉(zhuǎn)義操作，以及編碼的安全轉(zhuǎn)換。三、網(wǎng)站的代碼層編碼盡量統(tǒng)一，建議使用utf8編碼，如果代碼里的編碼都不一樣，會導(dǎo)致一些過濾被直接繞過。四、網(wǎng)站的數(shù)據(jù)類型，必須確定，是數(shù)字型，就是數(shù)字型，字符型就是字符型，數(shù)據(jù)庫里的存儲字段類型也設(shè)置為ini型。
五、對用戶的操作權(quán)限進(jìn)行安全限制，普通用戶只給普通權(quán)限，管理員后臺的操作權(quán)限要放開，盡量減少對數(shù)據(jù)庫的惡意攻擊。六、網(wǎng)站的報(bào)錯(cuò)信息盡量不要返回給客戶端，比如一些字符錯(cuò)誤，數(shù)據(jù)庫的報(bào)錯(cuò)信息，盡可能的防止透露給客戶端。七、如果對網(wǎng)站程序代碼不熟悉的話建議交給做安全的公司處理，國內(nèi)推薦Sinesafe，綠盟，啟蒙星辰。

由于具有面向互聯(lián)網(wǎng)提供信息服務(wù)的特點(diǎn)，帶有各種動機(jī)的攻擊者可能會利用開放的服務(wù)端口和一定的訪問權(quán)限進(jìn)一步探測其安全漏洞，以獲取未授權(quán)的信息訪問。政機(jī)關(guān)門戶更由于其代表的屬性，備受公眾和攻擊者的關(guān)注。針對政機(jī)關(guān)門戶的安全威脅，從威脅來源、威脅動機(jī)和威脅方式分析，具有以下特點(diǎn)。

URL篡改：對使用HTTP的get方法提交HTML表單的網(wǎng)站，表單中的參數(shù)以及參數(shù)值會在表單提交后，作為所訪問的URL地址的一部分被提交，攻擊者就可以直接對URL字符串進(jìn)行編輯和修改，并且能在其中嵌入惡意數(shù)據(jù)，然后，訪問這個(gè)被嵌入的惡意數(shù)據(jù)，再反饋給WEB應(yīng)用程序。如果想要對網(wǎng)站或APP進(jìn)行全面的滲透測試服務(wù)的話，可以向網(wǎng)站安全公司或滲透測試公司尋求服務(wù)。

一個(gè)的托管公司負(fù)責(zé)定期維護(hù)，重要的是他們所提供的安全**，保證您能夠?yàn)樵L客提供的用戶體驗(yàn)。
SINESAFE為了幫助網(wǎng)站維持長的正常運(yùn)行時(shí)間，可以采用冗余性（備份和服務(wù)器的失效轉(zhuǎn)移）來保護(hù)網(wǎng)站。備份可以幫助避免客戶端數(shù)據(jù)的丟失，而備份服務(wù)器可以避免服務(wù)器遭到徹底毀滅時(shí)不用從頭開始構(gòu)建新的服務(wù)器。
http://m.daweidiaosu.cn