http://www.zazhiba.com.cn/index.php en-US http://www.zazhiba.com.cn/read.php?113 自由随风 <song121528@163.com> Sun, 11 Oct 2009 00:46:58 +0000 http://www.zazhiba.com.cn/read.php?113
    网页木马就是网页恶意软件威胁的罪魁祸首，和大家印象中的不同，准确的说，网页木马并不是木马程序，而应该称为网页木马“种植器”，也即一种通过攻击浏览器或浏览器外挂程序（目标通常是IE浏览器和ActiveX程序）的漏洞，向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段。常见的网页木马攻击手段有哪些？用户应该如何识别及防御来自网页木马的攻击？

    本文将为大家细细道来：

    攻击者常用的网页木马攻击手段按照用户交互程度，可以分为主动攻击和被动攻击两种。

    主动攻击方式：

    就是攻击者通过各种欺骗，引诱等手段，诱使用户访问放置有网页木马的网站，如果用户不小心访问了该恶意网站，就有可能感染恶意软件。这种攻击方式常见的案例有，攻击者在各种论坛、聊天室、博客留言等用户集中的区域发布各种色情内容的连接、在各种在线游戏的聊天频道中发布各种中奖抽奖信息、使用各种即时通讯软件手动或通过之前被感染的用户自动向联系人发送带欺骗性质的网站链接等。

    被动攻击方式：

    是指攻击者通过入侵互联网上访问量大的站点，并在其页面中插入网页木马的代码，目前在IDC机房和企业内网中流行的通过ARP欺骗插入恶意网页链接也属于被动攻击方式，这种攻击方式属于广撒网的攻击方式，访问到该网站的用户都有可能感染其所带网页木马种植的恶意软件。

    虽然没有具体的统计结果，不过从最近的各安全公司发布的攻击趋势来看，网页木马主动攻击和被动攻击的发起频率差不多。如果用户不慎访问了有可能带有网页木马的网站，如何识别正在发生的网页木马攻击？用户可以根据以下的几个最常见的现象来判断：

    系统反应速度：

    目前攻击者构建网页木马所使用的IE浏览器漏洞，包括最新的MS07004 VML漏洞，都是利用构造大量数据溢出浏览器或组件的缓冲区来执行攻击代码的，因此，用户遭受溢出类的网页木马的攻击时，通常系统的反应会变得十分缓慢，CPU占用率很高，浏览器窗口没有响应，也无法使用任务管理器强行关闭。另外，在一些内存小于512M的系统上，溢出类的网页木马攻击时，系统会频繁的对磁盘进行读写操作（物理内存不够用，系统自动扩大虚拟内存）。

    进程变化情况：

    有少数的IE浏览器漏洞不属于缓冲区溢出的漏洞，比如去年初出现的MS06014 XML漏洞，用户在遭受使用它所构造的网页木马的攻击时，系统反应不会有明显的变化或者磁盘读写，顶多有时会短暂出现系统等待的沙漏图标，不过时间很短，用户一不留意就会错过。这种情况下，用户可以打开任务管理器或使用Process Explorer，查看是否有非用户启动的Iexplore.exe进程、名字比较奇怪的进程等来判断是否遭受了网页木马的攻击。

    浏览器显示：

    攻击者在使用网页木马的被动攻击方式时，通常会在被其控制的合法网站上使用HTML中的iframe语句或java script方式来调用网页木马，如果用户在打开某个合法网站时，发现IE浏览器左下角的状态栏一直显示一个和当前浏览网站一点关系都没有的地址，同时系统响应变得很慢，或者是鼠标指针变成沙漏形状，便有可能正在遭受网页木马的攻击。

    安全软件报警：

    安全软件报警也许是对用户来说最安全的一种网页木马攻击迹象，但目前市面上有相当多的反病毒软件检测不出用java script和vbscript 进行过加密的网页木马，因此反病毒软件不报警不一定说明网站就是安全的。

    攻击手法花样翻新，网页木马防不胜防，处于技术弱势地位的用户如何进行防御：1、 系统补丁要及时更新，绝大部分的网页木马受害者都忽略了自己所使用的系统及应用软件的补丁升级。毕竟只有极少数的攻击者会使用昂贵的0day 浏览器漏洞来做网页木马，及时更新系统及软件的安全补丁可以防御大部分的网页木马。

    2、 安装并及时更新反病毒软件，用户可尽量选择网页木马查杀能力较强的反病毒软件，并及时更新病毒特征库，这样的话，即使网页木马使用了最新的加密技术躲过反病毒软件的检测，但较新的病毒特征库也能尽可能用户免受紧跟网页木马而来的恶意软件的损害。

    3、 使用第三方浏览器，由于目前互联网上常见的网页木马所使用的是针对IE浏览器及其ActiveX控件的漏洞，因此，使用Firefox/Opera等非IE内核的第三方浏览器可以从源头上堵住网页木马的攻击，不过第三方浏览器在页面兼容性上稍逊IE浏览器，而且一些特别的网页，如各种使用ActiveX密码登陆控件的网上银行不能使用第三方浏览器登陆，用户在浏览这类网页时可使用IE浏览器。

    4、 养成安全的网站浏览习惯，用户应该养成安全的网站浏览习惯，不要随便点击各种来源不明，说明带有引诱语言的链接，防止落入攻击者的陷阱；遇到合法网站被攻击者攻陷并挂上网页木马，用户也应该报告网站管理员。

    彻底防范网页木马看似并不是难事，其实是一项工程浩大的系统项目，需要每一个细节都十分注意。
]]> http://www.zazhiba.com.cn/read.php?18 自由随风 <song121528@163.com> Mon, 18 May 2009 00:20:01 +0000 http://www.zazhiba.com.cn/read.php?18 1、确定三个主要关键词，这三个关键词在百度每日的搜索量要在200-400。把他们放在首页的标题上。
2、准备与这三个关键词相关的内容600-1000个，按规划在3个月内发完。
3、每个页面的内容中如果出现以上三个关键词，都给上链接，并指向首页。一个页面只要一次即可。
4、每个内容页面，如果出现其他页面的关键词，也打上链接并指向那个关键词所在的页面。

第三个月之后，IP就会涨涨······

哈哈 网站流量涨涨··· 快啊
Tags - seo ]]> http://www.zazhiba.com.cn/read.php?11 自由随风 <song121528@163.com> Thu, 14 May 2009 04:59:19 +0000 http://www.zazhiba.com.cn/read.php?11 http://www.solidscripts.co...或http://www.opensourcecms.c... 。

Content Management System (CMS)内容管理系统（ CMS ）
Drupal Drupal
Drupal是软件，允许一个人或一个社区的用户可以方便地发布，管理和举办了不同类型的内容在网站上。 成千上万的人民和组织利用Drupal建立分数不同类型的网站。  Drupal是开放源码软件许可遵从： GPL ，是保持和发展了社会的数以千计的用户和开发。  网址- http://www.drupal.org/

Joomla Joomla

Joomla! Joomla ！是其中一个最强大的开源内容管理系统在这个星球上。这是用世界各地的所有网站从简单到复杂的企业应用。 Joomla! Joomla ！ .易于安装，易于管理，可靠的。 网址- http://www.joomla.org/

Typo3 Typo3

.TYPO3已经是一个最好的不育系程序我合作过。 虽然读检讨，我碰到的人谁不喜欢。 TYPO3可能需要一定的阅读，它不是你的标准程序，也没有TYPO3不是初学者。您应该知道这之前编程软件，有一个释放初学者，但它不是最好的。 我真的建议使用此为高级用户！ 网址- http://www.typo3.org/

Blogs博客
WordPress WordPress的

WordPress的是一个最先进的个人发布平台，重点是美学， Web标准，和可用性。 WordPress的是免费和无价的在同一时间。

更简单， WordPress的是你使用时，要与您的博客软件，而不是对抗。网址- http://www.wordpress.org/

Textpattern Textpattern

A.一个自由，灵活，优雅，易于使用的内容管理系统为各类网站，甚至网页记录。

.建成Textpattern是纺织，一个简单的语法轻推纯文字到结构良好和风格丰富网页内容。 通常模糊的文字修改，如标题，超文本链接，图像和表格标记创建的一个或两个简单的标志。 相比航行标签汤标记，写作和修订的纺织品更直观，更接近与普通文字。 一旦youa € ?重新准备出版，复制标记与纺织将自动转换为有效的XHTML ，而且因为Textpattern商店两个版本的每一篇文章，修订和更新是一个单元。 当撰写文章或准备出版Textpattern ，您可以切换三个观点文章：纯文本，符合XHTML （代码与网页浏览器，使文章） ，并提供预览。

.网站公布了Textpattern可以聘请注册无限贡献者，每个人都可以被指派的权限由出版商的网站。 Five 五个级别的特权（出版者，总编辑，编审，作家和设计师）提供，各反映了不同的准入条设立，批准，修改及删除，并上传图片，网页设计和CSS ，当然增加贡献者。

安装和管理插件扩展Textpattern的能力很简单。 一旦安装完毕，插件可以打开或关闭的Textpattern接口，其中详细的帮助和获得所使用的插件参数也可以。 网址- http://www.textpattern.com...

b2evolution b2evolution

b2evolution可能是最全面的博客引擎，你可以找到！ 它包括几乎所有的功能，您可以指望从博客工具，等等。另外，它是免费的，它的开放源代码（ GPL ）的，它会运行几乎任何地方（的PHP / MySQL的） ，它可用在许多语言！网址- http://www.b2evolution.net...

E-Commerce电子商务
osCommerce 自从

自从是领先的开放源代码的网上商店的电子商务解决方案，是免费提供的GNU通用公共许可证。采用了一套丰富的乱盒在线购物车功能，使商店业主安装，运行和维护他们的网上商店，最小的努力和任何费用，许可费，或限制参与。

目标，自从项目是不断发展的吸引了社会，支持持续发展的项目，其核心一级，广泛通过捐款以提供额外的功能，以现有的丰富的功能集。

.你所需要的一切就可以开始销售实物和数字商品在互联网上，从产品前端是提交给您的客户，到管理工具的后端完全处理您的产品，客户，订单，在线存储数据。 网址- http://www.oscommerce.com/

Zen Cart 禅宗车

.禅宗车确实是电子商务的艺术;一个自由的，用户友好的，开放源码的购物车系统。 .该软件是由一群志同道合的店主，程序员，设计师和顾问认为电子商务可以和应该做不同的看法。 有些解决方案似乎是复杂的方案编制工作不是应对用户的需求，禅车让商家和消费者的需求第一。 .同样，其他程序也几乎是不可能的安装和使用没有IT程度，禅车可以安装和设置的任何人最基本的电脑技能。 其他非常昂贵... 没有禅车它是免费的！

禅宗车将最终网上购物经验，您的客户。 浏览商品产品是一件轻而易举的与禅宗车，该计划提供了多个“热点”名单中除了传统的产品类别的联系。 一旦产品被添加到购物车，结帐安全是一个简单的3个步骤。method.在提供的结算信息，您的客户选择的送货方式。  （多运送方式包括实时互联网航运报价是内置的）其次，付款类型选自一种常用的支付模块。  （ PayPal和AuthorizeNet只是2包括单元）最后，客户评语秩序，运输和付款的选择，并确认订单。 .您立即通知该命令和您的客户自动收到一封电子邮件确认。
.禅宗车可以让网页设计者提供了强大的和可定制的电子商店很容易跟上最新的新功能。 your clients!它提供了实用，直观，不显眼购买流动权开箱基于成熟行业的最佳做法-没有任何重大修改，需要得到正确的为您的客户！

一个秘密的权力掌握在我们强大的模板系统， “文摘”的外观和风格的代码和逻辑禅车。 这使您能够给客户一个真正的自定义解决方案，集成了快速，完美地与他们现有的营销网站。 网址- http://www.zen-cart.com/

phpShop phpShop

phpShop是一个购物车的应用。 .的目标phpShop开发团队提供一个稳定的网络应用平台，使更多的发展。
使用了数百个网站，网上销售。 网址- http://www.phpshop.org/

Forums论坛
PhpBB PhpBB

phpBB是一种高功率，完全可扩展，高度可定制的开源布告栏封装。 , and helpful FAQ. phpBB有一个用户友好的界面，简单明了的管理小组，并有帮助的常见问题。 sites.基于强大的服务器的PHP语言和您所选择的MySQL ，数据库， PostgreSQL数据库或Access / ODBC数据库服务器， phpBB是一种理想的解决方案，自由社会的所有网站。网址- http://www.phpbb.com/

PunBB PunBB

PunBB是一个快速和轻量级的PHP驱动的讨论板。 这是发布的GNU通用公共许可证。  其主要目标是要更快，规模较小，不太生动密集型相对于其他讨论板。  PunBB了更少的功能比其他许多讨论板，但一般规模较小的速度和产出，语义正确的XHTML兼容的网页。 网址- http://www.punbb.org/

SMF 单模光纤

Elegant.优雅。 Effective.有效的。 Powerful.强大的功能。 Free.自由的。 单模光纤是上述所有。单模光纤是下一代社会软件包是满满的功能，同时具有影响微乎其微资源。它是免费的。网址- http://www.simplemachines....

Image Galleries图像画廊
Coppermine Coppermine

照相馆是一个图片库脚本。pictures and have their own gallery.用户可以上传图片和网页浏览器或Windows XP的Web发布向导（缩略图是即时创建） ，添加注释，发送电子贺卡，图片和利率有自己的画廊。that have been uploaded by FTP.管理员可以管理相册/图片/评论和一批新增的照片，已上载通过FTP 。 该脚本的一个主题系统，可使用下列语言：波斯尼亚语，中文（简体和繁体） ，捷克语，丹麦语，荷兰语，英语，芬兰语，法语，德语，希腊语，意大利语，日语，挪威语，波兰语，葡萄牙语（标准和巴西） ，俄文和西班牙文。 .该脚本使用PHP ， MySQL数据库和GD库（版本1.x的或2.x的）或ImageMagick使缩略图。一个安装脚本，使得安装非常快速和容易。 网址- http://coppermine.sourcefo...

Gallery 画廊

.画廊是一个基于网络的软件产品，可让您管理您的照片放在您自己的网站。 您必须拥有自己的网站用PHP的支持，以便安装和使用它。 an intuitive interface.与画廊您可以轻松地创建和维护相册的照片通过一个直观的界面。 照片管理，包括自动缩图建立，图形缩放，旋转，排序，字幕，搜索等等。 相册可以读，写和字幕权限身份验证的用户，每个人的额外的隐私级别。 给帐户到您的朋友和家人，让他们上传和管理自己的照片到您的网站上！ 网址- http://gallery.menalto.com...

Plogger Plogger
是新一代的开源照相馆系统。一个web应用不臃肿与多余的功能或复杂的配置设置。   Url - http://plogger.org/ Plogger是一个简单但功能强大的工具a € “你需要的一切与我们分享您的影像世界。 Plogger是您的照片集成到您的网站，一个功能齐全的照片共享封装，有吸引力和易于使用的管理界面，使管理您的画廊一件轻而易举的事。将我们画廊软件到您的网站一样容易插入三行PHP代码。网址- http://plogger.org/

Tags - phpcms ]]> http://www.zazhiba.com.cn/read.php?10 自由随风 <song121528@163.com> Thu, 14 May 2009 02:05:08 +0000 http://www.zazhiba.com.cn/read.php?10
我读过通过大量的指导，他们往往比复杂这一点，所以我作为直截了当越好。PHP中最简单的方法是通过您的资料通过功能。转义字符特殊字符的领域，用户可以利用该数据库，您将避免脆弱。看看下面的例子，在做什么，什么不能做的事。

这是一个脆弱的查询。
  $查询= “选择*从产品名称= ' $产品' ” ;  mysql_query （ $查询） ;  $查询= sprintf （ “选择*从产品名称= ' ％ s的' ” ，  mysql_real_escape_string （ $产品） ） ;  mysql_query （ $查询） ;

因为我主要是在PHP代码，我不能自信地提供技术，其他的编程语言。 最重要的部分保护自己是阻止用户能够通过改变数据库操纵的特殊字符，比如单引号。
Tags - php , mysql ]]>