怎么通过留言板入侵网站

Ⅰ 问一下有什么网站可以允许我注册一个账号，然后就能得到一个留言板，别人可以通过链接进入这个留言板给我

使用多说或者有言这种社会化评论框，嵌套在一个名为留言板的静态页里就行了，

Ⅱ 如何在自己的网站上面调用第三方的留言板

可以去搜一下畅言等其他第三方留言功能，都是有接口的，直接调用即可，把样式调整好就ok，有的做成插件了，还不会的话俺可以提供技术支持

Ⅲ 为防黑客攻击的而将网站全部静态化，如何操作的

好，这招绝。

全静态的网站几乎是不可能从正面入侵的！

不过注意你要是租的空间或服务器的话小心了就有，因为别的网站被搞了，你的网站也有可能被日掉。。。。

还有留言板，有的留言板有漏洞有的没有，在就是自己看看自己的留言板程序有没有跨站漏洞，自己搜集下跨站的资料。。。。。

Ⅳ 网站留言版被攻击

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。
有条件建议找专业做网站安全的sine安全来做安全维护。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1.修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2.创建一个robots.txt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3.修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改conn.asp，防止非法下载，也可对数据库加密后在修改conn.asp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4.限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5.自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6.慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7.谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8. cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9.目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10.自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11.例行维护

a.定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b.定期更改数据库的名字及管理员帐密。

c.借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

网站被挂马一般都是网站程序存在漏洞或者服务器安全性能不达标被不法黑客入侵攻击而挂马的。

网站被挂马是普遍存在现象然而也是每一个网站运营者的心腹之患。

您是否因为网站和服务器天天被入侵挂马等问题也曾有过想放弃的想法呢，您否也因为不太了解网站技术的问题而耽误了网站的运营，您是否也因为精心运营的网站反反复复被一些无聊的黑客入侵挂马感到徬彷且很无耐。有条件建议找专业做网站安全的sine安全来做安全维护。

Ⅳ 学习入侵网站需要什么基本知识

我的空间 主页|模块平台博客|写新文章相册|上传照片好友|找新朋友档案|留言板jonyoo 0 | 我的消息(0/2) | 我的空间 | 网络首页 | 网络空间 | 退出 思想之路人不停的长大,路不停的伸向远方,借网络之空间记录我思想的历程,不管思想怎样,这里所记录的都是真实自我的反映.我爱这片园地,因为他是一面镜子,照我前行! 主页博客相册|个人档案 |好友 查看文章
学习网站入侵基本知识(转)2007-06-07 15:20首先介绍下什么样的站点可以入侵：必须是动态的网站，比如asp、php、jsp 这种形式的站点。后缀为.htm的站点劝大家还是不要入侵了吧(入侵几率几乎为0)。

入侵介绍: 1 上传漏洞；2 暴库；3 注入；4 旁注；5 COOKIE诈骗。

1 上传漏洞，这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。

怎样利用：在网站的地址栏中网址后加上/upfile.asp如果显示 上传格式不正确[重新上传] 这样的字样8成就是有长传漏洞了找个可以上传的工具直接可以得到WEBSHELL。

工具介绍：上传工具，老兵的上传工具、DOMAIN3.5，这两个软件都可以达到上传的目的，用NC也可以提交。

WEBSHELL是什么：WEBSHELL在上节课简单的介绍了下，许多人都不理解，这里就详细讲下，其实WEBSHELL并不什么深奥的东西，是个WEB的权限，可以管理WEB，修改主页内容等权限，但是并没有什么特别高的权限，(这个看管理员的设置了)一般修改别人主页大多都需要这个权限，接触过WEB木马的朋友可能知道(比如老兵的站长助手就是WEB木马 海阳2006也是 WEB木马)我们上传漏洞最终传的就是这个东西，有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。

2 暴库：这个漏洞现在很少见了，但是还有许多站点有这个漏洞可以利用，暴库就是提交字符得到数据库文件，得到了数据库文件我们就直接有了站点的前台或者后台的权限了。

暴库方法：比如一个站的地址为 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161，我门就可以把com/dispbbs中间的/换成%5c，如果有漏洞直接得到数据库的绝对路径，用寻雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径http://www.xxx.com/后面加上conn.asp。如果没有修改默认的数据库路径也可以得到数据库的路径(注意：这里的/也要换成%5c)。

为什么换成%5c：因为在ASCII码里/等于%5c，有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了，为什么我暴出的数据库文件是以。ASP结尾的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样就可以下载了如果还下载不了可能作了防下载。

3 注入漏洞：这个漏洞是现在应用最广泛，杀伤力也很大的漏洞，可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的，可以得到管理员的帐号密码等相关资料。

怎样利用：我先介绍下怎样找漏洞比如这个网址 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看 如果显示正常页面再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞，知道了站点有没有漏洞我门就可以利用了 可以手工来猜解也可以用工具现在工具比较多(NBSI NDSI 啊D DOMAIN等)都可以用来猜解帐号密码，因为是菜鸟接触，我还是建议大家用工具，手工比较烦琐。

4 旁注：我们入侵某站时可能这个站坚固的无懈可击，我们可以找下和这个站同一服务器的站点，然后在利用这个站点用提权，嗅探等方法来入侵我们要入侵的站点。打个形象的比喻，比如你和我一个楼，我家很安全，而你家呢，却漏洞百出，现在有个贼想入侵我家，他对我家做了监视(也就是扫描)发现没有什么可以利用的东西，那么这个贼发现你家和我家一个楼，你家很容易就进去了，他可以先进入你家，然后通过你家得到整个楼的钥匙(系统权限)，这样就自然得到我的钥匙了，就可以进入我的家(网站)。

工具介绍：还是名小子的DOMIAN3.5不错的东西，可以检测注入，可以旁注，还可以上传!

5 COOKIE诈骗：许多人不知道什么是COOKIE，COOKIE是你上网时由网站所为你发送的值记录了你的一些资料，比如IP，姓名什么的。

怎样诈骗呢？如果我们现在已经知道了XX站管理员的站号和MD5密码了，但是破解不出来密码(MD5是加密后的一个16位的密码)我们就可以用COOKIE诈骗来实现，把自己的ID修改成管理员的，MD5密码也修改成他的，有工具可以修改COOKIE 这样就答到了COOKIE诈骗的目的，系统以为你就是管理员了。

今天的介绍就到这里了，比较基础，都是概念性的东西，所有的都是我的个人理解，如有不正确的地方希望大家指出(个人认为就是，为什么换成%5c，这里有点问题)。

Ⅵ 网站留言板被攻击

那最多叫捣乱。。。
找好哥哥重新设计留言版程序。。。

那是别人在你那放链接，做广告的吧
也有可能是你的竞争对手，恶意行为。

Ⅶ 求助php网站被一句话木马入侵

一句话木马一般都是插在 留言板之类的常用文本框里面

Ⅷ 怎么把阿里留言板或百度留言版放入网页

把他们留言板的代码放到网页首页，就可以了，记住，一定是代码编辑情况下的插入才可以哦。否则是不会生效的。

Ⅸ 网站遭攻击，大量留言怎么办

有可能是sql的注入攻击，建议你在留言板上加上“附加码”验证功能，这样能完全屏蔽注入攻击。附加码验证的小程序那都可以下载，添加到你的asp页面上应该可以解决，另外为了防止被后续入侵最好是再部署张ssl证书，这样信息传输通道更有保障。

Ⅹ 网站，论坛账户密码如何破解

网络有很多都是不安全的，多多少少会才在些漏洞，看见论坛有人在测试脚本漏洞，我也想测试测试，没有想到的是成功了，所以写了这个文章给大家，让大
家在处理脚本的时候多留心着点。.跨站脚本攻击虽然很少会对服务器造成一些什么比较大的影响,但对于一个站点来说,存在这种漏洞实在是太不值得!小则,弹
点什么东东出来;重则窃取用户的COOKIES资料。更甚者将会G掉浏览者的硬盘.一个站点被变成一个恶意网站,还有谁敢来?如果再加上该站的站长比较"
盲"一些,岂不乱套了?
首先应该让大家知道什么是跨站脚本（很多是的，当然有个人的理解，呵呵）
1、什么是跨站脚本(CSS/XSS)?
我
们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被
解释执行，今天我就把带有能获取cookie信息的脚本嵌入了所发帖子的页面里，并且成功地绕过了论坛对特殊字符的限制，具体怎么做，大家等下可以看下面
的。而有时候跨站脚本被称为"XSS"，这是因为"CSS"一般被称为分层样式表，搞网站设计的都知道CSS，因为它的功能很强大。或许这很容易让人困
惑，但是如果你听某人提到CSS或者XSS安全漏洞，通常指得是跨站脚本。
2、XSS和脚本注射的区别？
但
是并非任何可利用脚本插入实现攻击的漏洞都被称为XSS，因为还有另一种攻击方式："Script
Injection",即脚本注入或者是讲脚本注射，他们之间是有区别的：他们的区别在以下两点：1）.(Script
Injection)脚本插入攻击会把我们插入的脚本保存在被修改的远程WEB页面里,如:sql injection,XPath
injection.这个很常见，好象前几个月很多安全网站被黑就是因为脚本里存在注入漏洞，而被一些人利用的。2）.跨站脚本是临时的，执行后就消失
了。这个就不同于我们现在讨论的XSS/CSS
了，今天讲的是在页面中插入脚本，这样谁来访问谁的浏览器就执行，如果不被删掉或者是修改编辑的话，就一直存在的。
那么什么类型的脚本可以被插入远程页面？
主流脚本包括以下几种：HTMLJavaScript (这个是我今天测试的VBScriptActiveXFlash
好
了，进入正题，具体如何检查这个漏洞，大家可以看绿盟Sn0wing翻译的文章《跨站脚本说明》。
3、基本理论首先,讲一下最简单的脚本攻击:<td ></td >（TD
TR在网页中是代表框架的）等HTML字符的过滤问题。先找了个CGI的论坛，以原来ASP的眼光看CGI的站点,我们先注册用户，在用户一栏中填
写<td
>,提交用户注册后发现并没提出非法字符的提示，惨了，看来是有BUG了。注册完成后,点击资料也发现页面变形了.如在其他几个如国家,性别里填写
也会出现同样的问题,那页面就没法看了。于是换了一个站点，再次提交<td
>出现了非法字符提示（比如小榕的）,看来站点是已经过滤的<>等HTML的脚本字符,那好，我们改用ASCII
码替换<> 如& #60; &
#62;代替提交后再来看，又出现了上面页面变形的情况（小榕的当然没有了），看来非法过滤机制还不是很完善。

4、简单的脚本攻击如<td
>等HTML格式的代码一定要过滤好，.那我们下面就开始重点讲一下UBB过滤漏洞的问题。因为UBB在现在很多的论坛和免费留言本里都有使用的，
所以需要重点讲下。因为我自己原来的留言本也是这样的，被测试过发现也有这样的漏洞，现在就换了个安全点的。

5、UBB是论坛中用来替换HTML编辑的一种格式符号,如[ b][ /b]可以替换成HTML中的< b>< /
b>，然而就是这一个替换问题,就成了跨站脚本攻击的最佳选择对象。先讲些我们常用的标签，比如img标签，[
img]的过滤，确实很麻烦而且是个老大难问题，关于这个标签的脚本攻击很流行，网上也有很多文章。但是很多站点还是存在这个漏洞，有些根本没有进行过
滤，特别是一些免费留言板的提供站点。下面我们主要讲一下高级问题： 由于[
img]的初级问题骚扰，很多站点就对一个敏感的字符开始过滤。比如字段ja，字段doc，已经字段wr等，或者是对字符进行过滤。比如
java，document等等。这样一来，似乎这样的攻击少了很多，使跨站攻击变的神秘并且深奥了，但是我们仍然可以利用ASCII码来代替。