雖然現(xiàn)在的網(wǎng)站安全防護(hù)技術(shù)已經(jīng)得到了很大的提升，但是相應(yīng)地，一些網(wǎng)站入侵技術(shù)也會(huì)不斷地升級(jí)、進(jìn)化。如何建設(shè)網(wǎng)站，因此，企業(yè)在進(jìn)行網(wǎng)站建設(shè)管理的時(shí)候，一定不可以輕視網(wǎng)站安全這一塊，建議企業(yè)周期性、長(zhǎng)期性地用一些基本方法來(lái)檢測(cè)企業(yè)網(wǎng)站的安全性，確保網(wǎng)站順利、正常地運(yùn)營(yíng)下去。
修改后臺(tái)初始密碼
每個(gè)都有一個(gè)后臺(tái)賬戶(hù)，用于日常的維護(hù)更新，而很多后臺(tái)初始密碼都過(guò)于簡(jiǎn)單，在拿到后臺(tái)管理賬號(hào)密碼時(shí)，要先把初始密碼修改掉，帳號(hào)密碼要有一定的復(fù)雜度，不要使用域名、年份、姓名、純數(shù)字等元素，要知道密碼越好記也就意味著越容易被攻破。

多年以來(lái)，應(yīng)用程序設(shè)計(jì)總是優(yōu)先考慮功能性和可用性，很少考慮安全性。很多CISO表示，API安全性尤其不被重視，甚至完全被排除在安全設(shè)計(jì)流程之外。通常都是開(kāi)發(fā)人員開(kāi)發(fā)和部署完成后，在API投入生產(chǎn)且頻繁遭受攻擊后才亡羊補(bǔ)牢查找問(wèn)題。安全性（包括API安全性）需要成為產(chǎn)品設(shè)計(jì)的一部分，并且應(yīng)作為首要考慮因素加以實(shí)現(xiàn)，而不是事后填坑。
解決方法：審查應(yīng)用程序的安全體系結(jié)構(gòu)是邁向安全系統(tǒng)的重要步。請(qǐng)記住，API使攻擊者能更地攻擊或利用您的系統(tǒng)。設(shè)計(jì)安全性的目標(biāo)是讓API成為用戶(hù)而非攻擊者的工具。以上只列舉了一些常見(jiàn)的API漏洞，總之，重要的是在軟件開(kāi)發(fā)生命周期的早期階段就討論安全問(wèn)題。微小的改進(jìn)就可以帶來(lái)巨大的好處，避免API遭攻擊造成的巨大和損失。

應(yīng)對(duì)措施：文檔上傳的繞過(guò)方法網(wǎng)上一搜有很多（比如upload-labs的各種方法、繞防火墻的各種方法（雖然很多已經(jīng)過(guò)時(shí)），可能還有些沒(méi)有公開(kāi)的方法，總結(jié)一下：1.常規(guī)的繞過(guò)方法：文檔后綴（大小寫(xiě)、文檔別名等等）、文檔名（文檔名加分號(hào)、引號(hào)等等）、文檔內(nèi)容（比如圖片馬）、請(qǐng)求包結(jié)構(gòu)等等。
2.結(jié)合服務(wù)器解析漏洞：IIS、apache、nginx的特定版本都有對(duì)應(yīng)的解析漏洞。3.利用文檔包含漏洞：如果有文檔包含漏洞，可以結(jié)合文檔包含漏洞，上傳馬。4.利用組件漏洞：如果知道組件版本和名稱(chēng)，可以網(wǎng)上找一下相應(yīng)漏洞。注：手動(dòng)一個(gè)一個(gè)去試各種方法，的確很麻煩，可以試試burpsuit的上傳插件upload-scanner(但本人覺(jué)得并不好用）。

編輯器漏洞
現(xiàn)在大多是后臺(tái)編輯，利用編輯器漏洞，繞過(guò)安全驗(yàn)證，利用圖片上傳漏洞將木馬直接植入數(shù)據(jù)庫(kù)中。
解決方案：定期針對(duì)產(chǎn)品升級(jí)，安裝補(bǔ)丁程序。
空間安全性較差
你一個(gè)的空間，每年支付了幾百塊的費(fèi)用，但長(zhǎng)期沒(méi)有維護(hù)，很容易導(dǎo)致攻擊。今天，還遇到一個(gè)用戶(hù)來(lái)電話(huà)咨詢(xún)，說(shuō)自已的每年給現(xiàn)在的網(wǎng)建公司支付壹仟元的空間費(fèi)，現(xiàn)在公司每月推廣費(fèi)用壹萬(wàn)左右。問(wèn)為什么還是打不開(kāi)？是否可以請(qǐng)彩圣策劃來(lái)維護(hù)。聽(tīng)到這我們的技術(shù)專(zhuān)員真的給嚇一跳，誰(shuí)都知道空間流量限制，你說(shuō)這樣的費(fèi)用空間商能給你提供多大的流量呢？還好意思說(shuō)自已在百度推廣。試問(wèn)這樣的情況哪家企業(yè)可以耽誤得起？
解決方案：建議用戶(hù)趕緊換空間，同時(shí)加強(qiáng)和服務(wù)器安全維護(hù)。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.cxftmy.com