YYDS... 嘿，大家好！今天我要给大家讲一讲关于网站建设的小秘密，那就是常见的漏洞和怎么防止我们的网站被坏人黑掉哦！你知道吗，现在上网的人越来越多了网站就像我们的小店一样，Ru果被坏人黑了就不好玩了。那么我们就要学习怎么保护它。下面我就用Zui简单的话来告诉大家吧！

什么是网站漏洞？

啊哈，先来告诉你们什么是漏洞。漏洞就像小门一样，坏人Ke以从那里进去捣乱。我们的网站Ru果有了漏洞， 坏人就Neng进去改我们的东西，比如把我们的网页改成其他东西，或者把我们的用户信息偷走。

常见漏洞有哪些呢？

我们都... 好，现在我要告诉你，常见的漏洞有哪些了。哎呀， 可多了让我来数一数：

• 越权
• SQL注入
• 文件上传漏洞
• 跨站脚本攻击
• 后台地址泄露
• 命令施行漏洞
• 敏感信息泄露
• 默认口令、弱口令
• 任意文件包含、任意文件下载
• CSRF
• 会话重放攻击
• 不平安的cookies
• 目录遍历漏洞
• SSRF漏洞
• XML实体注入
• 登陆功Neng验证码漏洞

怎么防范这些漏洞呢？

防范这些漏洞， 就像给我们的网站穿上保护衣一样，下面我告诉你怎么Zuo：

• 修改建议：去掉cookies中的用户名，密码。
• 修改建议：添加token验证，时间戳或这图片验证码。
• 修改建议：过滤、校验要覆盖系统内所有的参数。
• 修改建议：加强用户权限的验证。
• 修改建议：对用户输入的异常字符过滤。屏蔽一些错误回显，如自定义404、500等。
• 修改建议：升级OpenSSL版本。
• 修改建议：关闭无用的服务和端口， 前期只开80和数据库端口，使用的时候开放20或者21端口。
• 修改建议：严格验证上传文件， 防止上传asp、aspx、asa、php、jsp等凶险脚本。一边hen好加入文件头验证，防止用户上传非法文件。
• 修改建议：让验证码在服务器后端刷新，数据包提交一次数据数，刷新一次。
• 修改建议：使用开发语言提供的禁用外部实体方法，过滤用户提交的XML数据。

对了还有一些小技巧哦：

• 口令不要出现常见的单词。如：root123456、admin1234、qwer1234、p@ssw0rd 等。
• 所有密码要加密。要复杂加密。不要用base64或md5。
• 及时下载补丁，修补平安漏洞；必要时建议直接geng新至Zui新版本。

太顶了。 好了今天我们就学到这儿吧！记住保护好我们的网站，就是要给它穿上平安的保护衣。这样，坏人就进不来了我们的网站才Neng健康快乐地成长哦！

希望我的小分享Neng帮助到你们，下次再见啦，勇敢一点...！