昨天我看了一下網站流量統計，發現最近幾個月來，站內的一篇有關計算機網絡病毒的訪問量居高不下；是計算機網絡病毒，一直是很多人關心的，包括我們客戶，而黑客也是很多用戶談及色變的，前段時間，我有看到一篇文章說到：“目前，網站入侵已經變得非常簡單，門檻越來越低，隨便哪個菜鳥只要在黑客網站上下載入侵工具，即可開始入侵”，那今天我就來講講，我對網站入侵的認識！

我們可以看到，現在的網站幾乎都是靜態的，也就是后綴名為 .htm 或 .html ，不過動態的網站也是可以見到的，如 php、jsp、asp 這種形式的，但就是這樣的動態網站成了入侵的對象！因為如果要入侵那些靜態網站，成功概率很低，除非直接搞定了這個網站所在的服務器，但這就不是網站入侵技術范疇了；其實很多時候，只要一些簡單的措施，就可以杜絕一大批入門級和初級黑客的，并且對于普通的企業網站來說，已經比較安全了。那下面我就講講，最常用網站入侵技術：

注入漏洞：首先我們要說的當然就是注冊漏洞了，我們知道這個漏洞是現在應用最廣泛，殺傷力也很大的漏洞，可以說微軟的官方網站也存在著注入漏洞。

造成注入漏洞的原因是因為字符過濾不嚴禁，可以得到管理員的帳號密碼等相關資料，現在有很多工具可以用來猜解帳號密碼。

上傳漏洞：利用上傳漏洞可以直接得到WEBSHELL，這也是常見的漏洞。網站入侵者會在網址后加上/upfile.asp，顯示：上傳格式不正確 ［重新上傳］ ，基本就存在長傳漏洞，找個可以上傳的工具（DOMAIN3.5）直接可以得到WEBSHELL；而WEBSHELL其實只是是個WEB的權限，修改別人主頁都需要這個權限，不過到權限設置不好的服務器，通過WEBSHELL是可以得到最高權限的。

暴庫（也就是直接下載到數據庫）：我們不難看到，一些新手從網上直接下載一個免費的程序，上傳上去就直接用了，而這種站是被黑的主要對象了；運用網上的說法就是“交字符得到數據庫文件，得到了數據庫文件，就直接有了站點的前臺或者后臺的權限”；

還在學校的時候，老師千叮嚀萬囑咐，要想確保數據安全，網站在上線后，應該進行測試數據庫滲透測試，不過據我在深圳網站建設公司工作以來，了解到，這要找專業的安全公司！除非你自己或身邊有這樣的技術強人！

如果你要在網上下載這樣的程序來用的話，最好是要把路徑改一下，并且數據庫文件是以asp結尾的，就在下載時，把asp 換成 MDB，如果還不能下載的話，就是有可能做了防下載！

至于旁注，簡單的講就是通過曲線達到入侵的目的，不過DOMIAN3.5可以檢測注入、旁注、上傳等入侵；而COOKIE欺騙的話，其實是通過利用工具修改cookie （ID 、md5），欺騙系統認為是管理員，從而達到入侵的目的！