我的阿里云服务器怎么能保证安全不被人攻击啊

什么是渗透测试？

渗透测试，是渗透测试工程师完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标网络、主机、应用的安全作深入的探测，发现系统最脆弱的环节。

如何进行Web渗透测试？

完整web渗透测试框架当需要测试的web应用数以千计，就有必要建立一套完整的安全测试框架，流程的最高目标是要保证交付给客户的安全测试服务质量。

1、立项：项目建立，时间安排，人力分配，目标制定，厂商接口人确定；

系统分析&威胁分析：针对具体的web应用，分析系统架构、使用的组件、对外提供的接口等，以STRIDE为威胁模型进行对应的安全威胁分析，输出安全威胁分析表，重点关注top3威胁；

制定测试用例：根据威胁分析的结果制定对应的测试用例，测试用例按照模板输出，具备可执行性；

测试执行&漏洞挖掘：测试用例执行&发散测试，挖掘对应的安全问题or漏洞；

问题修复&回归测试：指导客户应用开发方修复安全问题or漏洞，并进行回归测试，确保安全问题or漏洞得到修复，并且没有引入新的安全问题；

项目总结评审：项目过程总结，输出文档评审，相关文档归档。

2、Web应用的渗透测试流程

主要分为3个阶段，分别是：信息收集→漏洞发现→漏洞利用，下面仔细分析一下各个阶段流程：

一、信息收集

在信息收集阶段，我们需要尽量多的收集关于目标web应用的各种信息，比如：脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面，用到的框架等

脚本语言的类型：常见的脚本语言的类型包括：php、asp、aspx、jsp等

测试方法：

1 爬取网站所有链接，查看后缀

2 直接访问一个不存在页面后面加不同的后缀测试

3 查看robotstxt，查看后缀

服务器的类型：常见的web服务器包括：apache、tomcat、IIS、ngnix等

测试方法：

1 查看header，判断服务器类型

2 根据报错信息判断

3 根据默认页面判断

目录的结构：了解更多的目录，可能发现更多的弱点，如：目录浏览、代码泄漏等。

测试方法

1 使用字典枚举目录

2 使用爬虫爬取整个网站，或者使用google等搜索引擎获取

3 查看robotstxt是否泄漏

使用的开源软件：我们如果知道了目标使用的开源软件，我们可以查找相关的软件的漏洞直接对网站进行测试。

测试方法

指纹识别（网络上有很多开源的指纹识别工具）

数据库类型：对于不同的数据库有不同的测试方法。

测试方法

1 使应用程序报错，查看报错信息

2 扫描服务器的数据库端口（没做NAT且防火墙不过滤时有效）

所有链接页面：这个跟前面的获取目录结构类似，但是这个不只是获取网站的所有功能页面，有时候还可以获取到管理员备份的源码。

测试方法

1 使用字典枚举页面

2 使用爬虫爬取整个网站，或者使用google等搜索引擎获取

3 查看robotstxt是否泄漏

用到的框架：很多网站都利用开源的框架来快速开发网站，所以收集网站的框架信息也是非常关键的。

测试方法

指纹识别（网络上有很多开源的指纹识别工具）

二、漏洞发现

在这个阶段我们在做测试的时候要对症下药，不能盲目的去扫描，首先要确定目标应用是否使用的是公开的开源软件，开源框架等、然后在做深一度的漏洞扫描。

关于开源软件的漏洞发现

开源的软件：常见的开源软件有wordpress、phpbb、dedecms等

开源的框架：常见的开源框架有Struts2、 Spring MVC、ThinkPHP等

中间件服务器：常见的中间件服务器有jboss、tomcat、Weblogic等

数据库服务：常见的数据库服务mssql、mysql、oracle、redis、sybase、MongoDB、DB2等

对于开源软件的测试方法

1 通过指纹识别软件判断开源软件的版本信息，针对不同的版本信息去开放的漏洞数据库查找相应版本的漏洞进行测试

2 对于默认的后台登录页、数据库服务端口认证等入口可以进行简单的暴力破解、默认口令尝试等操作

3 使用开源的漏洞发现工具对其进行漏洞扫描，如：WPScan

关于自主开发的应用

手动测试：这个阶段，我们需要手工测试所有与用户交互的功能，比如：留言、登入、下单、退出、退货、付款等操作

软件扫描：使用免费的软件扫描，如：appscan、wvs、netsparker，burp等

可能存在的漏洞

Owasp关键点

代码安全之上传文件

代码安全之文件包含

代码安全之SSRF

逻辑漏洞之密码重置

逻辑漏洞之支付漏洞

逻辑漏洞之越权访问

平台安全之中间件安全

三、漏洞利用

针对不同的弱点有不同的漏洞利用方式，需要的知识点也比较多。一般这个阶段包括两种方式，一种是手工测试，一种是工具测试

手工测试

手工测试是通过客户端或服务器访问目标服务，手工向目标程序发送特殊的数据，包括有效的和无效的输入，观察目标的状态、对各种输入的反应，根据结果来发现问题的漏洞检测技术。手工测试不需要额外的辅助工具，可由测试者独立完成，实现起来比较简单。但这种方法高度依赖于测试者，需要测试者对目标比较了解。手工测试可用于Web应用程序、浏览器及其他需要用户交互的程序。

这种方式对于有特殊过滤等操作，或者网络上没有成型的利用工具的时候可以使用。

工具测试

网络上有很多好用的免费利用工具，比如针对sql注入的sqlmap、针对软件漏洞的matesploit等。

网上相关的教程很多 ，您可以先百度一下找找相关学习资料

学习网站的步骤：

1、首先需要对网站的运行有初步的了解，如：

什么是网站？

做网站有什么用

 网站有哪些分类？

网站是怎么实现互相访问的？

2、做网站前的准备有什么？

1、域名  可以到百度一下  域名 注册，一般建议使用com的顶级域名，费用年也就几十块钱；

2、虚拟主机 或空间  也可以 是自己搭建的服务器。（一般推荐到阿里云购买ECS或普通共享主机空间，价格高低不等，小型企业或个人网站，年费用在200块左右就够了。）

3、学习基础的网页编程知识，如 ： HTML  CSS  JS   JQ   PHP当然前期能把  HTML + css学好 就不错了，除了上面这些，一般做网站还需要 会点美工，PS 至少能会点。

4、快速搭建网站的技巧

其实现在想做个网站已经 很简单了，因为 现在有很多一键式网站建设软件 ，或网站建设程序，下载个程序，套一下模板就可以 了。那有哪些建站程序呢？请看下面

5、网站建设程序有哪些？

a>织梦dedecms  

适用于小型企业展示或文章型网站的建设，虽然 大家常说dedecms不全安，但其使用人数却是非常多的，所以 配套的模板、插件也是非常丰富；  

DedeCMS最适合应用于以下领域：

•企业网站，无论大型还是中小型企业，利用网络传递信息在一定程度上提高了办事的效率，提高企业的竞争力；

•政府机关，通过建立政府门户，有利于各种信息和资源的整合，为政府和社会公众之间加强联系和沟通，从而使政府可以更快、更便捷、更有效开展工作；

•教育机构，通过网络信息的引入，使得教育机构之间及教育机构内部和教育者之间进行信息传递，全面提升教育类网站的层面；

•媒体机构，互联网这种新媒体已经强而有力的冲击了传统媒体，在这个演变过程中，各类媒体机构应对自己核心有一个重新认识和重新发展的过程，建立一个数字技术平台以适应数字化时代的需求；

•行业网站，针对不同行业，强化内部的信息划分，体现行业的特色，网站含有行业的动态信息、产品、市场、技术、人才等信息，树立行业信息权威形象，为行业内产品供应链管理，提供实际的商业机会；

•个人站长，兴趣为主导，建立各种题材新颖，内容丰富的网站，通过共同兴趣的信息交流，可以让您形成自己具有特色的用户圈，产生个人需求，并为其服务；

•收费网站，内容收费类型的网站，用户可以在线提供产品销售，或者内容收费，简单清晰的盈利模式，确保您以最小的投资，取得最大的回报；

b>ecshop  

这个一般只有做商城网站才用得到，但这个程序 是非常好用的，如果会做模板，及程序开发，价格很高的。

c>帝国CMS

《帝国网站管理系统》英文译为＂EmpireCMS＂，她是基于B/S结构，安全、稳定、强大、灵活的网站管理系统．

本系统由帝国开发工作组独立开发，是一个经过完善设计的适用于Linux/windows/Unix等环境下高效的网站解决方案。从帝国新闻系统10版至今天的帝国网站管理系统，她的功能进行了数次飞跃性的革新，使得网站的架设与管理变得极其轻松！

她采用了系统模型功能：用户通过此功能可直接在后台扩展与实现各种系统，如产品、房产、供求、等等系统，因此特性，帝国CMS又被誉为“万能建站工具”；采用了模板分离功能：把内容与界面完全分离，灵活的标签+用户自定义标签，使之能实现各式各样的网站页面与风格；栏目无限级分类；前台全部静态：可随受强大的访问量；强大的信息采集功能；超强广告管理功能

d>PHPcms

PHPCMS V9（简称V9）采用PHP5+MYSQL做为技术基础进行开发。V9采用OOP（面向对象）方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展，代码维护，优秀的二次开发能力，可满足所有网站的应用需求。

5年开发经验的优秀团队，在掌握了丰富的WEB开发经验和CMS产品开发经验的同时，勇于创新追求完美的设计理念，为全球多达10万网站提供助力，并被更多的政府机构、教育机构、事业单位、商业企业、个人站长所认可。

V9在保留2008版的特点的同时，对新版本作出重大的创新，为此我们做出了巨大的努力，希望能为更多的站长提供优质的建站系统！

目前已提供文章、、下载等内容模型，在此基础上可非常方便的扩展出信息、房产、交友、点评等功能。已有的模块有：会员、在线充值、全站搜索、评论、专题、新闻心情、短消息、投票、友情链接、公告、附件管理、数据源模块、广告、采集、表单向导、手机门户等模块。 

除了以上提到的这些，当然 还有不少，在这就不一一列举了，至于使用方法，同样建议“百度一下”，找相关教程

防止阿里云服务器不被攻击：

首先系统内部安全要做好，系统漏洞补丁要打好，防火墙的策略、开放那些端口访问，允许那些IP访问，这些基本的设置要做好。

使用一些专业的安全漏洞扫描工具，阿里云自己有一个安全分析工具叫态势感知，利用工具可以分析发现潜在的入侵和高隐蔽性攻击威胁。

使用一些管理工具管理阿里云主机，可以很方便的管理阿里云主机，可以设置管理成员的权限，防止管理混乱，减少对外端口开放，还附带安全漏洞检查。

遭遇到DDoS攻击，需要购买第三方防DDoS攻击的服务，阿里云市场里面有云盾DDoS、东软、服务器安全加固及优化等一些防攻击的产品。

网站作为互联网核心，通过数据驱动(用户产生业务，业务产生数据)，我们想要提高网站安全性，先要明白有那些因素会影响到网站的安全问题。清楚网站的安全性三要素变得非常重要：1机密性、2完整性、3可用性如：Dos攻击会降低可用性。网站管理除了服务器防火墙，在做好网站防护的时候，要对数据重要性做安全等级划分。

网站数据安全评估过程：

1资产等级划分、确定所需保护的目标、最重要的资产、最重要的数据、客户数据;员工资料;信任域/信任边界：DB--WebServer--Internet

2威胁分析

威胁(Threat)：可能造成危害的来源、伪装(Spoofing)：冒充他人身份---认证、篡改(Tampering)：修改数据or代码---完整性、抵赖(Repudiation)：否认做过的事情---不可抵赖性、信息泄露(InformationDisclosure)：机密信息泄露---机密性、拒绝服务(DenialofService)：拒绝服务---可用性、提升权限(PrivilegeEscalation)：未经授权获得许可---授权。

一、网站模板程序不够安全

大多数网站喜欢下载模板后直接使用，这样的网站程序存在漏洞是不可避免的，所以想要提高网站安全性，想要确保网站后台cms系统安全性，网站后台开发外包给专业团队还是很有必要的。就算是前期使用公共平台模板，也要注意以下两点：

①不要选择知名度不高的网站程序源码，这类源码一般无人去进行程序的开发和维护，网站极易出现漏洞，被入侵的可能性大大增加。所以在选择的时候，尽量选择知名度较高的开源程序。

②选择知名的建站CMS系统，如：DEDECMS、动易CMS、ECSHOP等免费开源程序，由于此类开源程序使用者较多，网站很容易出现新的漏洞，我们要根据后台提示，及时的进行更新，避免黑客对网站进行攻击。

二、网站的空间/服务器

上面说完网站程序会影响到网站的安全性，其实网站在选择空间时，也需要注意，网上有很多不知名的空间商给出的网站空间价格很低，部分用户觉着便宜使用了，但往往这种便宜的空间，安全性极差。因为空间/服务器需要专门的人员去进行维护的，需要对服务器进行配置，设置服务器文件的权限等等。

三、网站后台路径以及账号密码设置

借助小编的亲身经历，以前帮一个客户维护他的网站，发现他网站后台路径是/admin账号是admin密码是admin，这种网站即使后台程序和空间再好，被入侵也是迟早的事，网站后台的路径不能直接大众式的后台路径，账号和密码也尽量要用字母+数字+符号，所以提醒大家以后要在这方面多加注意。

做这么多网站的安全防护措施都是为了防止黑客借助网站程序漏洞和服务器防御不足，让他获取用户数据泄露用户的登录信息和密码。那如果黑客都得到了用户数据表了，那么是不是也能得到其他信息呢黑客想登陆到你的帐户获取你的数据或者更改数据，那么数据库本身的安全是不是比用户密码存储方式的设计更重要呢。通过以上几点可以看出，做好网站的安全防护并不是做好两三点就足够的，还有很多细节需要更深入地探讨。

　　配置百度云加速CDN缓存提高网站访问速度

今天在登陆百度推广后台后，发现优化建议里面有一条提示，网站打开速度慢，达到7秒。想一下有多少网民愿意等待7秒呢，没耐心的都直接关闭你的网站。这个流失率不小啊。于是我就按照提示用百度的那个网站速度诊断工具，测试一下，网通和电信都显示得分56：

然后我就想到了使用百度云加速来提高一下网站的打开相应速度，因为以前在群里看到有人提到过这个东西，说是可以能提高网站的加载速度。而且还不止这些好处呢!下面我就以自己实际操作的步骤来给大家看看，一个网站如何加入百度云加速。

1需要登录你的账号

这里有两种登录方式，一个是用的百度账号；另外一个就是使用百度推广账号，我这里就使用的百度推广账号进行登录了。

进入我的网站进行相关设置

进入网站，然后添加网站。这里也有两种接入方式：NS/CNAME方式，我自己使用的是NS验证的方式，因为感觉这个方便点，能使用百度各机房节点的DNS高智能服务，同时也是百度推荐使用的接入方式。

然后进入下一步，配置子域名；这里默认的有一个MX记录，还有一个A记录；在这里需要检查的是指向IP地址是否是你空间上的那个IP，接下来增加一个@记录A指向的，这样无论是带三个W的还是顶级域名都会指向同一个页面地址，方便搜索引擎统一认识啊！

其次，配置服务商设置。在这里需要去你的空间管理那边，把原先的那个DNS地址修改一下，改为百度的ns1bddnscn和ns2bddnscn；这两个缺一不可的。在这里我就演示一下新网的修改方法，登陆新网管理那边，修改域名DNS地址，然后确定就修改成功了。修改成以后，回到百度云刚才那个页面，检验修改就大功告成了，是不是挺容易的呢？具体的可以看一下下面的图；

设置好以后也可以看网站数据，看什么节点啊，这些之类的。接入百度云之后，还真发现网站打开速度快了。

如果你发现你的网站打开速度慢，想让它变快点的话，那不妨来使用百度云加速试试吧！

接触帝国CMS和织梦dedecms有一段时间了。我们公司做站，无论是竞价站，推广站还是优化站，基本用的都是dedecms，因为不需要会员系统，所以也基本没多少安全性问题，但是很少用帝国cms。而我自己做站，因为考虑到安全问题，所以就选择了帝国。最初，我也是不太了解两者的区别，当时抉择了很久，不过幸运的是，我的选择没错。相信也有很多新手朋友在徘徊吧，今天爱建站公益网就把个人经验和大家分享下，以免新手朋友多走弯路。

　　入手：从入手方面来说，的确，织梦更占优势，简单易用，功能齐全的确是大家都看得到感觉的到的，我就不多说了。帝国相对来说入手难些，有灵动标签和万能标签以及其他标签之分，也分各种模板、模板变量等等，比织梦复杂的多，而且模板是写在数据库里，所以入手帝国的模板，估计很多新手朋友感觉不太适应。

　　做站的效率：对于新手来说，织梦套模板似乎更简单，而帝国可能需要熟悉万能和灵动标签用法，里面很多数字排列，相对难记，小编到现在还有些标签没完全记住，只是知道这个用法，有时还会需要去参考下才敢写，这样也就使得帝国做模板效率低了些，可能有的朋友做套简单的织梦模板一会就搞好了，但是帝国却要做几倍的时间。但这只是对于刚接触帝国的新手朋友而已，如果熟悉了帝国系统，你会发现做模板的效率不比织梦差多少。我现在接单很多客户都是要求用帝国做，一个简单仿站的单，单独去做真的最多几个小时就好了。我记得有次帮一个朋友做手机站(他提供html模板，我套标签)，整站下来，大概7个页面吧，还有一个单独做的搜索页面，一共只用了2个小时左右。可以看得出来，熟悉以后还是很不错的。

　　交接：这个主要针对特殊人群，比如像我们公司，四个点的站可能我们几个程序都要去修改，织梦无论是后台修改模板还是直接ftp传下来文件修改都是很简单明了的。但是帝国就不一样了，自己做的帝国站自己最熟悉，但是其他人接过去就先要熟悉你整站的思路，哪部分用的什么变量，哪里用的灵动标签，哪里用的万能标签，用灵动标签还好点，不涉及标签模板，如果是用万能标签，那又要蛋疼了，如果修改的东西在标签模板里，还要去找所在的标签模板，总之熟悉起来还是要点时间的。

　　安全性：这个织梦真心没法和帝国比，织梦频繁更新各种安全补丁，但是帝国就是没爆什么漏洞，而且帝国模板都是存放在数据库，所以也不会存在被下载的问题，织梦就不同了，往往模板会被轻松地访问到。

　　生成：感觉织梦用来做一些企业站还是很好的，但是用来做信息量大的门户站之类的，真不行，信息量多了以后，生成速度比帝国慢很多，而且很多朋友都反应信息量多了，织梦程序都要崩溃了，生成整站需要一天的情况都有。

　　以上都是个人实际情况总结，大家如果有不同意的地方不要喷我。

网站上的广告如果不是站长加上去的，可能是被入侵了，要做好安全防护，修改管理员、FTP、服务器等密码。删除广告的方法因广告代码不同而不同。

常见的CMS程序，后台自带广告功能，只需要去后台，找到广告管理，把里面的JS清空，在生成一下，就可以了。

DEDECMS后台广告管理

生成以后，还是没有解决，那么广告JS代码并不是后台来的，这个时候要去模板或者网页文件里面手动删除。不熟悉HTML标签的情况下，可以借助Adobe Dreamweaver CS6。打开有广告的页面，找到对应的JS广告代码，删除。保存，在上传。下面一张截图是删除JS广告的方法：