每天活跃在互联网上的应用成百上千万,包括PC端以及目前越来越主流的移动端,不仅有通过浏览器访问的,还有需要安装客户端的,不仅有与服务器强交互的,还有独立运行的本地软件。
而这其中,开源的(包括开放源码的)产品少之又少。但,这并不妨碍一个黑客找出其中的漏洞。换句话说,找漏洞并不需要源码。
当然了,在有源码的情况下,挖洞是一件难度系数指数下降的事情。虽然读懂一个大型软件源码耗时又耗力,但对于黑客来说,可以略去其中大半的代码来阅读,只关心可能造成危险的部分。就像一名建筑工程师看一份大楼的施工图,要看懂大楼的结构、建筑材料、水电线路等等各方各面,而对于《Prison Break》中的Michael Scofield可能只关心地下管道的分布。
那么,在没有源码的情况下,黑客怎么挖洞呢?这种情况,大家可以称之为黑盒。而挖洞,的确需要与程序编辑者持有完全相反的角度和看法。对于输入输出点,程序猿考虑的是正确的输入获得正确的输出,而黑客则考虑特殊的非法输入获得异常的有价值输出。那系统登录来说,程序猿考虑的是用户输入注册的用户名、口令能够在登录时与数据库中的数据匹配成功,而黑客则会尝试引起数据库查询异常的输入作为用户名、口令内容,希望应用返回更多数据库中的有效数据。
对于黑客来说,不知道源码情况下,只要有输入就可以了,不管是应用具有的功能页面,还是一个输入接口,通过一种叫做模糊测试的技术就可以开始你的挖洞之旅。模糊测试可以构造一系列正常和异常的输入值,根据应用的返回来判断脆弱点的存在。
在黑客的武器库中,模糊测试只是其中一个利器,像什么漏扫、逆向、脱壳、注入、暴破等等不一而足。
作为程序猿,在编写程序时不仅要从正向角度完成应用的功能,还需要从黑客角度逆向分析应用在处理异常输入时的反应,才能做出高安全的应用。
做个中型设计类的门户网站?
笔者这几年一直在给客户维护着几个新闻类的网站及服务器,都是建站之初,就是推荐客户采用织梦cms部署的站点,以自身的运维经验,来回答题主的问题。
您说的这个设计类的网站,一般的内容管理系统(CMS系统)基本上可以满足您的需求,目前开源的CMS系统还是PHP语言的居多,比如题主提到的phpms、织梦、帝国等,都是PHP语言开发的网站,也是目前业界比较老牌、用户量比较多的几套内容管理方面的网站
至于安全性方面的问题,用户量大的网站开发商一直在开展维护、更新,漏洞修补的工作,没有题主担心的这么多问题,只要跟随厂家及时升级系统、网站服务器打好补丁,配置好防火墙,基本就不会遇到太多安全方面的问题
当然,没有绝对的安全,除了做好以上措施之外,还要定期备份网站的程序、数据库等,就算哪天被黑客攻破,数据销毁,也可以及时采取措施,尽快恢复
除了PHP语言开发的CMS系统之后,JAVA语言方面的也有几个,比如JEECMS、CMS4J等,和PHP语言开发的系统相比,安全性更高,性能更快,适合大团队开发大型系统,目前银行、电信等领域的系统,都是使用JAVA语言开发,但对开发、运维人员的技术要求偏高,网站建设成本也偏高,如果题主是大中型企业,可以采用此技术路线
综合来说,织梦等成熟的CMS系统,节省开发的时间,并且网上有好多成熟的界面模板,完全满足题主快速的要求。大胆走出第一步,遇到问题,想对应的办法来解决问题,天无绝人之路
没有计算机相关背景?
如果完全没有程序开发基础可以直接在网上找些成熟的CMS(Content Management System)来安装,通俗的来讲就是会直接给你生成一个完整的网站,你自己修修改改一些网站信息,板块分类,并用一些设计好的主题来美化。优点是有专人发布漏洞补丁,一定程度上比新手自己写的网站安全。缺点是比较刻板,很多地方对于新手来讲不能随心所欲。举些例子,做论坛可以用discuz ,做博客可以用wordpress,国内的有dedecms等,网上还有很多可以自己搜索试用,安装也十分简单。
是不是修改下阿里云密码?
大家好,偶是老李,谢谢你邀请偶回答自己领域相关专业问题!
首先给你个肯定答案,只修改阿里云密码肯定不行
为什么这样说呢,听老李来给你详细的解答下
阿里云密码只是管理服务器重启等一些简单操作的密码,这个首先肯定要修改,但不是修改了这个密码就万无一失了。
网站还有后台管理密码,这个和阿里云密码不是一样的功能,所以这个密码必须修改,不修改就可以登陆后台任意删除网站内容。
再有就是FTP密码,这个是用来上传下载网站内容的,这个也必须修改,不修改就可以用FTP登陆服务器删除服务器上所有的东西。
还有就是网站可能被人家留有后门,这样不管你修改了所有的密码,人家还会一样登陆,这个才是最麻烦的,建议你找专业人员给你检查网站是否有后门。
专业的人士,给你专业的解答,希望对你有帮助!大家可以关注老李,看更多电脑、安防相关视频教程!