要想做好网站安全的防御，那就必须做到知己知彼，要了解自己网站的安全缺陷和黑客常用到的入侵手法，这能有效让你做好网站安全方面的规划，让网站安全性得到提高。在这我们一起来了解下一些常用的攻击手段。

 

1、SQL注入漏洞
　　对网站安全方面有一定了解朋友肯定有听说过SQL注入攻击这名词，像之前的索尼旗下的网站索尼爱立信的网站受到入侵事件正正由sql注入攻击导致的，在这之前，有不少大型网站受到这类型的攻击。一般SQL注入可以爆出数据库里面的账户信息。从而得到管理员的密码或 其他有利用的资料。如果权限高点可以直接写入webshell，读取服务器的目录文件，或者直接加管理账户，执行替换服务等等攻击。

 

2、危险性的上传漏洞
　　这类攻击主要利用网站上传漏洞，进行上传一些木马，病毒，得到散播木马和病毒的目的。这对网站名誉会造成很大的影响，甚至被一些杀毒软件将其列为高危挂马网站，这样会严重影响网站流量。上传漏洞主要源自对其上传的权限没有限制和过滤好。

 

3、数据库写入木马
　  由于mdb的数据库容易被下载，不少编程员将其换成asp或者asa的。但是这样过一换，带来了更多的安全隐患。由于这两种格式都可以用迅雷下载到本地的。黑客可以通过一些途径提交一句话木马，插入到数据库来，然后用工具连接就获得权限了。

 

4、管理账户密码的泄露
　　第一:万能密码'or'='or'。就是把这个当着管理员的账户密码就可以直接进入后台。现在还有很多网站仍然能进。
　　第二:弱口令。比如你的密码是admin/admin888/123456/5201314等。这样很容易被猜到。
　　第三:默认密码。这里分默认的后台密码与默认的后台数据库。假如攻击者知道了你网站是哪一套源码搭建的，就会去下一套相同的源码来看默认的数据库是否能下载，后台密码是否仍未更改。
　　第四:站长个人通用密码。很多人就是在网络上只用一个密码。不管是哪个环节你的密码被泄露，攻击者可能用这个密码去测试你的网站后台，你的邮箱，你的QQ号，你的ftp，你在其他地方注册的账户。

 

5、0day
　　现在很多人用一些主流的程序。比如动网，discuz论坛，phpwind，动易，新云等等这些用户量很多源码，也会时不时的给大家带来"惊喜"，对于这个大家请多关注其官方提供的最新程序漏洞的补丁。

 

6、还有一些不能忽略的
　　暴库，列目录，任意下载漏洞，包含文件漏洞，iis写入漏洞，cookie欺骗，跨站xss等等很多很多。

　　针对以上这些网站入侵攻击的防御方法就不详说，其实关于网站安全的防御有三个点是比较重要的。

　　一、网站安全意识
　　像弱密码，帐号泄露这些属于网站安全意识不足导致的，故主要加强网站安全意识，不要让一些低级错误而直接网站受到入侵。

　　二、网站安全检测
　　要做好网站安全检测和评估，才能有效发现网站有可能出现那些安全隐患，并能够及时做出相关的处理。比较知名就有亿思平台（http://www.iiscan.com），主要针对网站安全漏洞方面的检测。

　　三、网站安全处理措施
　　无论你网站安全这方面做得多么好，都要有一套网站被黑后应该如何处理方案，因为只要你网站一天在线，就有可能被黑的可能，而怎样处理好网站被黑后处理方法是非常重要的，处理不好很容易损失用户。

　　以上是个人的小小经验，部分内容借鉴了网上一些教程内容，希望对各位站长有所帮助，如果更好意见欢迎留言提出！