黑(hei)(hei)客(ke)，我的(de)(de)(de)理解是有(you)豐富計算機知識（TCP/IP，LINUX，BSD以及(ji)泄露出來的(de)(de)(de)WINDOWS源代碼，精通VC，JAVA，DELPHI，ASP，CGI，PHP等(deng)等(deng)）并對技術有(you)著狂(kuang)熱追(zhui)求、還要(yao)有(you)獨(du)特思維方式(shi)的(de)(de)(de)人(ren)，他們的(de)(de)(de)存在會讓(rang)技術不斷更新對中(zhong)國的(de)(de)(de)網絡只(zhi)會起到建設的(de)(de)(de)作用，真正的(de)(de)(de)黑(hei)(hei)客(ke)本應該(gai)是這(zhe)樣(yang)的(de)(de)(de)。可因(yin)為實現生活的(de)(de)(de)殘酷，有(you)些(xie)高手因(yin)為種種原(yuan)因(yin)寫出了一(yi)些(xie)只(zhi)要(yao)會點鼠(shu)標左鍵就能用的(de)(de)(de)黑(hei)(hei)客(ke)工(gong)具(ju)供“偽黑(hei)(hei)客(ke)”使用。所以我們只(zhi)要(yao)提高一(yi)些(xie)基(ji)本的(de)(de)(de)安全意識就能大大減少被這(zhe)些(xie)不勞而獲的(de)(de)(de)“偽黑(hei)(hei)客(ke)”掛馬(ma)的(de)(de)(de)機會。下面就大家(jia)探討一(yi)下。

（一）空間(jian)的(de)選擇一定要達到這(zhe)些條(tiao)件(jian)。

1、讓(rang)服務器管(guan)理員分配獨立(li)的目錄和獨立(li)的用戶權限，這樣做是為了不讓(rang)服務器上別的網站被(bei)入(ru)侵而(er)響影到你(ni)。

2、讓服務器(qi)管理員(yuan)針對(dui)自己網站的(de)不同目(mu)錄能分配(pei)不同的(de)權限，除了需要寫入(ru)權限的(de)目(mu)錄（比如數據庫、上傳文件所在目(mu)錄）之外的(de)所有目(mu)錄只給讀取的(de)權限，這樣(yang)做就讓利用webshell的(de)入(ru)侵(qin)者(zhe)沒有修改和寫入(ru)的(de)權限，更別說加(jia)iframe掛馬了。

3、讓管(guan)理員(yuan)針對(dui)你(ni)的(de)網站設(she)置(zhi)(zhi)IIS，關(guan)閉詳(xiang)細的(de)錯誤消息(xi)，目(mu)的(de)是不讓入侵者跟據錯誤信息(xi)分析你(ni)的(de)網站關(guan)鍵(jian)文(wen)件(jian)存放位置(zhi)(zhi)。再(zai)針對(dui)給了寫(xie)入權限的(de)目(mu)錄設(she)置(zhi)(zhi)IIS里的(de)執(zhi)(zhi)行(xing)權限為無(wu)，這樣做就算入侵者上傳了webshell他在這個沒有腳(jiao)本(ben)執(zhi)(zhi)行(xing)的(de)目(mu)錄中(zhong)也無(wu)法使用。再(zai)把你(ni)的(de)數據庫文(wen)件(jian)做URL重定(ding)項，讓他無(wu)法下載你(ni)的(de)數據庫文(wen)件(jian)。

（二）自已要做的(de)。

1、做(zuo)為(wei)程序設計(ji)者要盡量避免(mian)常規的(de)表項(xiang)做(zuo)為(wei)名字“admin、password、user、/login.asp”，防止用工(gong)(gong)黑客工(gong)(gong)具點下左鍵就把你(ni)的(de)管理(li)員(yuan)權(quan)限拿走。

2、過濾一(yi)些危(wei)險字符“and、or、'、%、where等”，目的是不(bu)讓你(ni)的管理(li)員(yuan)驗證形(xing)同虛設。

3、把(ba)自(zi)己(ji)的數(shu)據庫位置、名稱做(zuo)好保密(mi)作用，把(ba).mdb修改成.asp,名字復雜一些"(*IO(U".asp，防止數(shu)據庫被下載。

4、定期備份和更換密碼。

5、抽時間去百度(du)一下(xia)，經常會有驚人的文章(zhang)發現(xian)。多讀(du)些關于安全的文章(zhang)，和下(xia)載流(liu)行注入工(gong)具(ju)給(gei)自己的網站做安全測(ce)試。

其實只要自己虛(xu)心(xin)細心(xin)就能增長一些安全意識，雖然不可能做到絕對安全，不過減少一些不必(bi)要的安全漏洞還是必(bi)要的。