对某高级技工学校网站的安全检测和加固

核心提示： 图21 dv_admin中管理员密码hash值（五）安全加固1.使用jsky工具对该网站进行全面扫描使用zwell的jsky工具对该网站进行全面的漏洞扫描，如果22所示，对某高级技工学校网站的安全检测和加固(9)，发现2个SQL注入点，1个跨站漏洞，我以及安天365团队将乐意免费为您提供安

图21 dv_admin中管理员密码hash值

（五）安全加固

1.使用jsky工具对该网站进行全面扫描

使用zwell的jsky工具对该网站进行全面的漏洞扫描，如果22所示，发现2个SQL注入点，1个跨站漏洞，因此高危漏洞为3个。

图22 使用jsky安全扫描工具对网站进行全面安全检测

2.修复程序漏洞

到该服务器上找到news.asp以及photo.asp程序，在其中对获取的参数id进行过滤，仅仅允许数字，其它均禁止，修改后如图23所示。

图23 修复程序中的漏洞

3.修改数据库默认路径以及名称

到动感bbs目录，修改数据库连接文件conn.asp有关数据库路径以及数据库名称，如图24，使其难以被猜测和被下载。

图24 修改数据库默认名称和路径

4.修改数据库密码

打开数据库，将默认的密码修改为一个更加难以破解的密码，在本例中设置了一个经过30位加密的md5密码，嘿嘿，md5跑去吧，如图25，26所示，将经过md5处理的字符串填入到userpassword中，其它表中涉及后台管理的均进行相应处理，使入侵者难以破解密码。

图25 修改数据库密码为一个强健的新密码

图26 修改blog中的管理员密码

5.对网站文件进行清除木马和挂马处理

关于清除木马和挂马的细节，俺就不讲了，有关这些知识，请继续关注我们的专题文章，在网站中找到网页木马，将其删除，如图27所示，如果存在挂马代码，一并清除。

图27清除网页木马和挂马代码

6.提醒管理员更改密码以及做相应的安全处理

最后将已经修复的漏洞告诉管理员，将修改的密码放在管理员桌面的漏洞提醒文件中，如图28所示，进行友情提醒，最后关闭远程终端。结束本次的安全检测与加固。

图28

呵呵，最后谢谢antian365团队给了我一个机会，通过本次检测，俺将多个知识点运用在实践中，在实战中得到了提高。作为一个安全技术爱好者，我们的责任是保卫我的家园，保卫我们的信息，因此在安全检测后，如果有条件可以进行适当的安全加固。欢迎提高安全线索，我以及安天365团队将乐意免费为您提供安全检测和加固服务，写的不到之处请安全大牛指点，谢谢大家耐心的看文鄙人的陋文。