您好， []|
摩托罗拉Moto E等一系列设备已经证明，手机厂商可以以较低的价格提供高端技术。
Apple Watch希望能代替车钥匙，想让大家不再需要携带沉甸甸的车钥匙，而是用Apple Watch打开汽车门。
在谷歌移动搜索中，手机版网站将靠前显示，另外一些被抓取内容的APP也获得关照。
苹果要招聘光学显示工程师等，这些职位都跟显示和投影系统相关。
乐视将推两款分别主打中低端和高端市场的手机，售价在元之间。
4G资费居高不下，与之前未开放FDD、市场竞争不充分有着直接关系。
霸州市公安局称，卖货人吴某称邮包购自北京顺义某集市。
欧美等各国政府在过去数年间也一直在要求科技公司披露自己的数据加密方式。
联想表示，公司希望向消费者提供更加安全、更加干净的个人电脑。
兰·莱特认为，卡车消耗更多的能源，投资电动卡车的回报速度也高于轿车。
海康威视曾参与北京奥运会和60年国庆大阅兵安保。
日前有报道称，马云将价值240亿元的股权捐给了一家新加坡慈善机构。
携带沉甸甸的车钥匙的确不方便，Apple Watch或许真能靠这一功能一炮走红。
自从2013年9月，诺基亚与微软达成出售协议以来，中国区一直波澜不断。
中移动预计将于3月份完成资费、结算等内部系统改造，随后向虚拟运营商推出。
这是一个帐篷形的玻璃+金属结构的新式建筑。
马斯克研究的领域涉及电动车、火箭、超级铁路、太阳能等等。
镇立新出生于1968年，比其湖北同乡、小米创始人雷军要大1岁。
爱立信称，苹果产品累计侵犯了该公司41项专利。
科技公司都很难撼动当前汽车行业格局，因为智能技术只能是其一个组成部分。
在这场红包大战中，微信红包、QQ红包、支付红包无疑成为了主角。
如果你的汽车能在交通意外发生数秒前发出警告，结果会怎样？
亚马逊计划利用3D打印技术，在客户家旁的路边制造商品。
分析师称，Galaxy S6并非主要针对苹果，而是针对高通和小米。
裙子拍摄自当事人朋友的婚礼，结果有人认为它是白金的，有人认为是蓝黑的。
以1GB流量套餐的档位而言，中国电信的套餐相对优惠一些。
林楚方目前负责今日头条公关和品牌方面的相关业务。
Moto 360智能手表将拥有3种颜色的表壳，另外还拥有金属、皮革两种表带。
有一点可以肯定，美国网络中立的决定对普通消费者来说不会立刻产生任何影响。
中国移动4G发展已取得领先优势，建成TD-LTE基站超过70万个。
为提升速度和兼容性，微软将摒弃IE使用的的Trident渲染引擎。
企鹅智酷团队在一线城市日渐成熟的互联网生活服务，能否在北上广深以外的城市复制
手机上的年味正在被社交和服务带动。
政府发放LTE FDD的牌照，拯救的正是如今国内经济一片低迷之下摇摇欲坠的相关媒体。
主要是因为两个系统的UI渲染的逻辑存在明显差异。合并后，在整个出租车市场份额并不大；而且营收还达不到垄断标准。
独立顾问：微软面临七大威胁，要想适应新模式，就要深入改变。美国前劳工部长：我们最大的经济挑战不是效率，而是让他们赚更多。
还能输入140字
马云、李彦宏、刘强东和雷军等九个科技行业大咖进行了同台对话
Copyright & 1998 - 2015 Tencent. All Rights Reserved现在大部分网站容易被入侵吗？
最近各大互联网公司爆出漏洞，不知道我的博客会不会被入侵。前几天朋友网站被黑客直接修改了主页，想问一下现在网站真的就那么容易被入侵吗？如何做好防御措施呢？怎么样才能够让我的网站更加安全？另外知友们能提供一些知乎里面网络安全方面比较牛的人吗？方便请教一下。
按投票排序
谢邀！怒答不安全！引子这篇文章写起来还是蛮难的，难在不容易把整个网站安全体系全部写出来，或者文中应当添些真实案例让大家感觉笔力饱满，用墨充足。鉴于大量站长/网民普遍认为网站是“固若金汤”的安全，毫不担心也不在意自身隐私安全等其他问题，让我来试试科普是否能改变现状观念，哪怕只是一小撮人群呢？篇幅过长，另有文中有部分技术细节，大家可简单略过。好在昨天
和我说知乎回答字数10W限制？开始还担心字数太多，这样我就可以放心去写了。 你的网站真的坚不可摧？目前的网站可分为三大块：个人运营、团队/公司运营、政府运营。个人网站比例还是很大的，这种网站多数采用开源系统，如博客类：Wordpress、Emlog、Typecho、Z-blog、More...，社区类：Discuz、PHPwind、StartBBS、Mybb等等。团队/公司网站使用常用的开源CMS比例也是非常大，政府类网站基本上外包开发较多。当然互联网公司自家产品应用必然都是公司自主开发：淘宝？知乎？豆瓣？太多了。更泛一点的说，分为两大块：开源与闭源。能够有效说明网站伪安全的就是从实战出发的角度去证明到底是不是真的固若金汤。这里之所以讲到入侵方法不是为了教大家如何入侵网站，而是了解入侵的方法多种多样，知己知彼才能百战不殆。菜刀能够用来切菜，同样也能够用来杀人。黑客们入侵网站普遍的手法/流程：1、信息收集
1.1/ Whois信息--注册人、电话、邮箱、DNS、地址
1.2/ Googlehack--敏感目录、敏感文件、更多信息收集
1.3/ 服务器IP--Nmap扫描、端口对应的服务、C段
1.4/ 旁注--Bing查询、脚本工具
1.5/ 如果遇到CDN--Cloudflare（绕过）、从子域入手（mail，postfix）、DNS传送域漏洞
1.6/ 服务器、组件（指纹）--操作系统、web server（apache，nginx，iis）、脚本语言
1.7/ More...通过信息收集阶段，攻击者基本上已经能够获取到网站的绝大部分信息，当然信息收集作为网站入侵的第一步，决定着后续入侵的成功。2、漏洞挖掘
2.1/ 探测Web应用指纹--Discuz、PHPwind、Dedecms、Ecshop...
2.2/ XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含...
2.3/ 上传漏洞--截断、修改、解析漏洞
2.4/ 有无验证码--进行暴力破解
2.5/ More...经过漫长的一天，攻击者手里已经掌握了你网站的大量信息以及不大不小的漏洞若干，下一步他们便会开始利用这些漏洞获取网站权限。3、漏洞利用
3.1/ 思考目的性--达到什么样的效果
3.2/ 隐藏，破坏性--根据探测到的应用指纹寻找对应的EXP攻击载荷或者自己编写
3.3/ 开始漏洞攻击，获取相应权限，根据场景不同变化思路拿到webshell4、权限提升
4.1/ 根据服务器类型选择不同的攻击载荷进行权限提升
4.2/ 无法进行权限提升，结合获取的资料开始密码猜解，回溯信息收集5、植入后门
5.1/ 隐蔽性
5.2/ 定期查看并更新，保持周期性6、日志清理
6.1/ 伪装性，隐蔽性，避免激警他们通常选择删除指定日志
6.2/ 根据时间段，find相应日志文件太多太多。。。说了那么多，这些步骤不知道你看懂了多少？其实大部分的脚本小黑显然不用这些繁琐的步骤，他们只喜欢快感！通常他们会使用各种漏洞利用工具或者弱口令（admin,admin888)进行攻击，入侵无果就会选择睡觉、打飞机或者去做一些其他的事情。当然，这种“黑客”仅仅是出于“快感”而去想入侵你的网站，如果是别有它意的人，麻烦就来了。对了，上面这些步骤是刚翻到12年我整理的一个freemind思维导图的部分内容：（点击查看大图）（点击查看大图）优秀的白帽子/黑帽子会根据目标网站进行黑盒/白盒测试进行漏洞挖掘，白盒可称为代码审计，而黑盒则是在接触不到代码的情况下进行的模糊测试。通过上面这些步骤，目前国内的一些网站可谓是难逃一劫，当然具体场景遇到的不同情况要变化不同的攻击思路。看到了那么多，仔细想一下，我们的网站到底安全吗？当然，还有一种攻击概念：APT（以后有机会再写吧！一言难尽！）第一个小故事之所以能有兴趣写下这么大篇幅内容源于上周末，有幸认识了一位小哥，搞开发的。当时他问我：“Evi1m0，你说的博客安全不安全，能帮我测试一下吗？”我们相识在源头是因为我们两人博客使用的同一套系统--Typecho。刚下载好这套系统的时候我便简单的进行了一次白盒审计，刚好捡到两个0day（未公布的漏洞）。所以我对他“意味深长”的说：黑你博客，分分钟。 当然只是逗逗他，最后我告诉他了这么自信的原因。过了会儿，他便找我测试他最近写的一套博客系统，程序也还算简单，一顿黑盒测试后只发现了1个SQLinjection，有趣的是我发现他数据库竟然使用的ROOT权限！？结果很简单的拿到了网站权限，解开HASH之后我获取到了他常用的密码，然后我做了什么？查询网站里面所有关于config的相关隐私信息获取服务器（Linux）的ROOT权限密码猜解，登陆他主博客的后台去年5月份的时候我写过一篇文章《剖析隐私安全的奥秘》，文中便提到过个人使用不同的密码其实不会超过3-5种，阅读这篇全文请移步到：于是很简单的，我便完成了这次“入侵”，事后他感叹自己的安全意识竟如此薄弱，网站竟然如此不堪一击。另外一个小故事很久之前“L”发邮件要我协助他搞某酒店，那时还没有2000W酒店数据库泄露事件这回事，信息收集前戏他自己就已经单干了两个月，这些我后来才知道，不得不佩服他的耐心。拥有了这些信息后我便开始和他配合伪造成对方公司职员接触一些公司员工以便更快的获取有价值的东西，当然这种方法大家也许都应该知道--社会工程学。记忆尤深的是最后防线OA系统迟迟无法突破，让我吃惊的是他竟在公司接待厅里搭起WIFI开始钓鱼，一晃就是两天，最终他成功拿下了客服经理的OA账号密码。就在这整整半年期间，他和这公司某妹子拍拖成功，虽然后来分手了：）从一个弱口令开始，到分站沦陷再到密码猜解到主站沦陷，全部服务器开始成为肉鸡。权限在他手上一直持有了2年多，13年底的时候“L”与我Mail称：“They are the idiot！？后门竟然还没清理”，同时留下了一张图：为什么他非要弄到全部的服务器权限，其实并不是因为什么开房数据库，只是因为他和我有过一场小小的赌注。仔细想想我们的安全意识究竟够不够高？不要总是说：“我的网站很安全！我用的是Discuz！我用的是最贵的服务！没人能黑！”，借用我之前文中的一句话：“你只是目前还没有价值被黑！”。就算程序上没有漏洞安全问题，人性的弱点仍然是一个值得深思的点，很多经典案例都来自于人性的弱点，不了解的可以查看百度百科（社会工程学），虽然我一直扬言称拿科普来改变大家的安全观，可是你们不入戏啊，自己高潮可真无趣。哦，对了，这些故事都是我竭尽脑汁编出来的。-------被黑网站背后的故事我所被黑的故事我曾经也是这种想法，网站怎么可能会被黑呢？Linux权限做的那么死，除非网站系统出现漏洞，不然谁能入侵它！？当时我所创立的邪红色信息安全团队还算火热，有不少黑/白帽子想涂鸦主页（入侵篡改），记得是一个悠闲的下午，刚从咖啡厅出来接到团队成员打过来的电话称团队网站被黑了！Oh shit！真有趣，被黑的切入点竟然来源于服务器上朋友临时搭建的测试站点，他测试程序的时候忘记最后删除掉了，出于懒惰后台密码就使用了最令人头疼的弱口令--admin,admin真巧，这都能让那位黑客发现！显然他是有恶意的，对当时论坛进行了脱裤（数据库下载），后来朋友对这事儿仍然耿耿于怀。常在河边走，哪能不湿鞋？朋友被黑的故事和我同在知道创宇公司
的博客在12年底的时候也被黑过，不必太惊讶。 下面内容来自他当时的文章：，早7点，我发现我的博客被黑了，如封面这张图，说：“i'm sure your site have no xss by the venus hacker”，这英语很有chinese范，我当然不相信谁会用XSS来攻击我用WordPress搭建的博客系统，这年头WordPress的高质量XSS不容易得到，我很快就想到了我是怎么被黑的了，洗漱完后，打开电脑开始排查：黑页里的特殊指纹，利于我追踪；网站请求日志；我的网站源码里是否有后门；调查黑页不仅仅是为了拿到里面的特殊指纹，还有想看看是否有植入网马（如果有这个，那这个黑客太狠了，我非得把这个人挖出来并曝光），或者更邪恶的XSS攻击（这个我估计很多很多人都想不到，如果有这个，我会很尊敬这个黑客），我如此谨慎是因为如果是我要做些邪恶的事，我会这样做。结果这个黑页很普通。于是开始查看网站请求日志（如果是我猜测的攻击手法，日志里不应该有什么明显特征），果然日志里没什么奇怪的，基本肯定了我的猜测了。但是我还是不放心，既然是我猜测的攻击手法，那这个黑客如果不是仅仅“just a joke”，那肯定还会留下后门，WordPress那么多文件，我如何最快的速度确定是否有后门呢？我用Python脚本改写了两个程序（幸好之前我有积累），一个脚本分析全球常见后门（Webshell）特征（允许误报），一个脚本对比我之前备份过的文件Hash（担心被篡改植入一句话后门）。半小时后，完成了这些检查（如下图），看来这个黑客仅仅是想开个小玩笑而已。那这个我已经猜测到的攻击手法是什么呢？很简单，我博客所在的主机权限配置很脆弱，只要这个主机上任意网站被黑，都可能威胁到我的博客，这个主机被黑客拿下了，然后看到我的博客居然在里面，顺手来了个玩笑。---------END-----------------END--------你觉得你的网站很安全？无懈可击？或许有人会反驳：这些只是小网站！？如何黑掉知乎？这个话题是13年8月份知乎圆桌的活动引起的，上图来源乌云白帽猪猪侠。当时我注册知乎还没怎么开始玩，觉得很有意思，在我展开“行动”之前已经有了几个不错的回答：看到回答之后鸡血指数直线上升，于是我也挖了一个存储型XSS跨站漏洞，弹了几个框。知乎正如
所说体验真是出奇的好！登陆某管理员知乎账号后便能发现首页大大的[管理]二字，我如今已对权限的欲望已经逐渐萎缩，便没能好好珍惜住权限。事后
还送了我小礼物表示感谢，知乎对待安全的态度是蛮不错的。 说了那么多，最重要的来了！如何加固网站安全以及提高安全意识？加固网站安全提高安全意识一开始便提到了网站大致可分为几大块以及使用开源/闭源程序，如何加固？网站程序的采用：尽量采用大厂商提供的程序关注一些安全厂商以及官方微博，第一时间获取是否出现新漏洞市面上开源所能提供的已经很广泛了，没有特殊需要无所谓非要自己重新写套程序服务器权限的配置：关闭不需要的服务以及端口定期的更新系统补丁使用安全防御软件，例如安全狗、啊D等文件列目录等权限最小化，尽量消减Guest权限网站数据库不再使用ROOT权限，分配相应用户管理Other：使用WAF服务，例如加速乐、安全宝等弱口令是大忌！谨记权限最小化！More...关于安全意识：不是没人能黑你，只是你没有价值被黑不要等到出事后才想起来事前没做防护措施密码定时更换，能少泄露自己的隐私就少泄露多关注一些有关安全方面的人才，当然这需要你来筛分人才与“人才”安全意识要潜意识的存在你的脑子里，别来个中奖就把安全意识扔到脑外手机能够使用正版APP就使用，能够不越狱不ROOT就别做这些操作涉及到敏感隐私以及账户安全的时候谨慎操作More...我想说：“世界是不安全的，无论在哪，这是一个傻子太多骗子用不过来的时代。”写到现在我才发现已经差不多五千多字了，陈述一下我的观点：网站没有永远的安全能否入侵成功取决于你的价值有多少安全意识存在潜意识，网站权限最小化关于你想要的人员推荐：最后，送给大家：“只要有时间，漏洞分分钟。”---------微信公众号：Evil-say二维码：
大部分容易！我给几组数据。比如中国CMS中，最最流行的是DedeCMS，看这几年DedeCMS都出现过多少严重的漏洞：，截个图如下：想知道影响面？ZoomEye一下即可知道：想知道影响面？ZoomEye一下即可知道：，截图如下：60多万的网站使用了DedeCMS！大多分布在中国与美国（很多VPS在美国）。你们能知道DedeCMS漏洞百出吗？你们能知道官方不负责吗？？你们能知道有多少网站早已沦陷了吗？？99%的人根本不关心这个，攻击者爽了，养活了一个庞大的底下产业链，基于这些被黑的网站作为跳板去黑网民！！比如QQ里传播的欺诈网址，如下是被拦截的情况：但是，这么多被黑的DedeCMS网站，QQ不可能都拦截，否则有可能误杀好网站，这导致了黑产利用这个缺陷传播那些不会被QQ拦截的欺诈网址，黑产哪来那么多网址？？不都是这样黑下来的吗？我们经常联合QQ打击这些，根本打不完！还有按照我们团队（知道创宇安全研究团队）的历史应急响应情况来看，平均每天应急一个影响面还算小的高危漏洞（比如几千、几万个网站可能会被黑），平均每季度会出现一个影响全球的高危漏洞（数十万、百万网站可能都会遭殃的）。（注：想看我们团队每天是怎么工作的可以看我的这个回答：）弄了这么多年，我们都麻木了快！！不客气的说ZoomEye这个页面（）所列的组件，都可以被不同程度的黑，ZoomEye没列进去的也可以被黑，安全圈的同学都明白一个道理：安全是动态的。即，现在可能没漏洞，未来指不定何时就有，现在没黑你，可能是你不知道或者你没被黑的价值。我并非在散播“威胁论”，就好比你不知道地球每秒会被谋杀掉N多人，每秒会因为车祸死亡NN多人，在我们的ZoomEye系统上，我们可以一目了然地知道一个漏洞能影响全球多少网站，宏观的数字摆在我们面前的时候，我们才知道原来黑客的能量可以这样大，随着我们的深入发现庞大的底下产业链可以如此之大，这是互联网不为人知的一个庞大经济链。如果你的博客是全球最知名的WordPress，那安全性相比之下是高了非常多，被黑的可能性会小很多，不过“你没被黑，可能是你还没被黑的价值”，WordPress现在一个漏洞价值是非常高的，如果你不是什么重要目标，没人黑你。这不表示黑你的网站一定要通过WordPress本身。（补充下：我的博客用的就是WordPress，曾经被黑过程可以看
答案里有八卦：，他昨天给我说会写我，我就知道是写这件事，哈哈。）虽然WordPress本身安全性不错，但是它上面的插件就不这样了，你看下面链接，每月都会有好多WordPress插件的漏洞公布：还有，黑你网站的方式有很多，我来科普下，网站被黑的方式，我截出我以前的PPT内容。看完后，你将清晰很多很多……怎样？Web漏洞这块我就不展开了，这将严重影响我的心情。防御？太多内容啦，我就不费口舌了，得给我交学费。最后不介意我推荐我们公司的产品吧？，还可以防黑客、抗DDoS。这产品这么好？还免费？对，个人网站用我们这个免费足矣，不过你想不被黑我们没法保证，只是我们降低了你网站被黑的可能性。最后以上我引用的素材大多来自我们的各类产品。欢迎围观。
讲几个故事故事。请勿转载。银行的故事：前年在广州工作，某银行需要对网银做安全评估（银监局要求商业银行每两年必须做一次网银评估，后来好像改成一年）。先签免责协议。当晚和负责网页渗透的发哥开始干活，我主要负责在该银行开户，包括申请u盾。发哥岭南人士，从良前在黑客论坛以接黑活为生。因为客户给的测试时间有限，只有一晚，并要求第二天出具渗透报告。于是半夜加班。一共耗时两小时，渗透的主要成果有：1，通过我的该行账户，可以查询到其他人的银行账户，账户所有人姓名，账户余额。【属银监局定义的高危漏洞】2，通过我的账户，可以通过“遍历”的手段查询到该行任意一天的流水额。如果肯耗精力，可以写一个脚本，只需轻轻一点。。。【高危漏洞】3，在网页上修改了我账户的积分。我的卡上只有十块，原则上没有积分，发哥给我改成了一百万，当然，这些积分不能兑换礼品。【低危】4，如果使用“中间人攻击”手段，原则上可以获取其他人银行U盾随机生成的密码。【印象里这个也是低危】这个银行信息中心共有将近100人负责银行的IT业务，没有专门的信息安全部门。后来银行使用了国字号评估。而该国字号评估单位的技术实力跟商业公司没法比。二投资公司的故事某小型投资公司，主要做的是筹集民间资本进行投资，用户只需要联系公司并把钱打到主页的银行账户。某天，这个银行账户被篡改。一个用户不知道还打了款。该公司随后才知道主页被改三广州本地某大型集团公司，要求我们给做一次渗透。发哥又出马了。从主页渗透进去，逐级向上拿权限，据说最高拿到一把手的权限。于是从下向上发起一个7个亿的项目，逐级用权限审批。最后客户一看这个项目审批链，再问一下相关人员，吓尿，于是赶紧签合同。
题主可以把网站列出来，针对你想了解的方面给你说，意淫日站这种事情，一直最喜欢做了
我觉得我们应该换个问题《现在大部分人妻容易被凌辱吗》你真的关心了你的媳妇了吗？为什么是　她出轨了，而不是 我做的不够好。在末尾我意淫一段，高富帅—如何对人妻实施本番—且不被原配捉奸—并得到了原配的感谢我不是大牛，只是个人看法，并非绝对言论，各位当微小说看看就行了。基本安全1，弱口令，弱目录等。改弱目录撑死改几个调用文件里的几个路径吧。全世界网站账号都是admin，有意思吗，去数据库里改一下可以吗。2，注入，绕过等大部分都用的cms吧，一出0day，exp集体悲剧…自己关注些，没事搜搜“xxxcms 1.1”+漏洞 0day什么的关键词个人人为做到上面两点，再加上开发程序跟进社会脚步（我敢说现在'or'还是存在某些古老的废弃站点），一般不会出现问题的，这样解决了那些小黑客们的攻击，同时你的旁站也是安全的了…大黑阔们就腻害了！当然，技术到手，思路才是重要的，在我的脑海里一直存在着“hacking是一种思路”。伪邮件发件人，伪电话号码，伪短信发件人都是存在的，我只是小有了解，我真的不会阿这么些伪，还怕社工不到一个管理员吗，思路重点是思路，发邮件提示某种错误，同时发短信提醒查看邮件，进入钓鱼页面了吧，页面真伪更需要证书甚至直接上os级的漏洞执行木马，到这里，还没完，渗透web能提权就提权，然后再打个电话告诉他，亲，机房数据库损坏，正在修复，网站可能暂时无法访问等，用跟你前任分手时编借口的能力忽悠他，接着登录社到的idc user，再他服务器修改密码，关掉web环境，然后做你爱做的，一炮激情过后，再恢复正常，清理掉落在地上的吊毛后，打电话给他，说机房恢复好了，带来的不便请谅解，此时站长无比开心的打开了刚刚无法访问的站点，并且同情机房管理员的辛苦，感谢机房管理员挽救了自己的数据。完全没有什么真正的技术可言，对于大黑阔们，同样的技术可能在他指尖就可以无限放大。我还是想强调一句话，hacking是一种思路。阿阿阿，次熬，我退圈很多年了，各位黑阔看看就好
不怕贼偷就怕贼惦记
不安全，昨晚百度贴吧刚出一个XSS蠕虫（百度贴吧第四次大规模XSS注入了）。一晚上中招的起码扩散了十几万人。很简单的漏洞，一个小小的字符过滤不严。导致其他人浏览贴吧时会被执行远程的JS代码。一晚上毁了N多贴吧。据我所知百度在贴吧起码还有2个注入点，可惜呢，我都报到乌云了，百度无视我，那我也没办法。。I贴吧html注入上报1年后漏洞才修复，查IP点，就不说了。。这都是第几次了？支付宝这种更无奈，他对待安全人员是什么态度。一个可以绕过二级密保的漏洞，上报后，先偷偷修复，然后给和我说，查无此问题。。。哎，你不就是心疼你那点奖金吗？我不告诉你自己去用，随便捞下就是上万的收入。。。哎。寒心。【专注百度漏洞30年】
总之，不怕贼偷就怕贼惦记。
挺容易得，只要有大牛想搞你，跑不掉得， 不过不用担心，你身上没他们想要得东西，一般稍微牛一点得黑阔就不会干改别人首页这件事情
目前互联网33%的网站己被入侵并且种植后门。SEO劫持成为黑客入侵网站的主要目的。认为我说得不够，那我补充一下，为什么我说33%被入侵。我分析了不下数千个被黑的网站，目的来看被入侵的原因主要是以下：1. 弱口令
etc...)目前互联网上每天都有几W台暴力破解的机器人，被暴力破解入侵的网站是最多的。因为真的很多很多的小白不太注意这方面。2. 各种CMS,程序的的各种getshell漏洞(dedecms?
phpcms? phpmyadmin? 。。。)这种程序的漏洞己经完成工具化自动化，漏洞刚出来，各种有漏洞的应用都会被自动化扫描机器人轮一遍。3.框架漏洞/Cgi漏洞/webserver漏洞前段时间的phpcgi漏洞，jboss漏洞,nginx漏洞，struts漏洞 ，webdav 等等，这些也是自动化一条龙产业链，一直在被轮，从来没断过。4.小白自己下的程序中就有后门啊，有没有我不只一次看见一些莫名被黑的情况，原因就是小白们在各种网站下的程序中己经默认种上了后门，然后各种不知道什么原因被挂暗链。5.大神们的0day 永远顶不住的就是大神们手上的0day,分分钟被秒了还没摸清楚情况。6.苦力黑客这些苦力们社工，注入，找上传点，纯手工打造啊，架不住人多。当然还有更多我就不一一例举了，不是越高深的漏洞就危害越大，我只想说要想不被黑，先把最简单的安全问题解决好：密码管好网站最好装个安全狗，带WAF的那种，别用什么云WAF，我不是给他打广告。登录端口做上源IP限制。别乱下东西，请认准官网。别对推送的安全补丁不在意，该打就打。如果你真不不知道你有没有被黑，最简单的方法，去google site一下你的网站，看有没有出现不是你网站的内容。当然有专业安全人员的企业请忽视我上面写的东西。
如果你是用wordpress做的网站 ，你去谷歌的网站管理员工具里面的网站内容关键字查询模块,如果发现你的内容关键字列表出现virgra字样 那么表明你的网站已经被黑。恐怖的是,你查看网页源代码是看不到virgra字样的。但谷歌看到了。顺便请大牛指教如何去掉这些坏关键字。先谢谢了。
这个就像是问是不是大部分的门锁都很容易被撬一样，答案绝对是肯定的。但是会不会被撬，关乎被撬的价值和运气成分。不管互联网发展到什么阶段，人们的水平如何高，大部分人都会悠哉悠哉的前后门大开的生活着，也总会有倒霉蛋被人搞。在猫捉耗子这场游戏里，如果你在现实中撬了别人家的门，至少会留下些许物理痕迹或被摄像头捕获，而在网上，只要不是很菜的黑客，都知道消弭入侵痕迹是个好习惯。所以经常是管理员一直觉得自己从未被入侵过，而实际上那些服务器已经跟公共汽车一样，被人轮了多少遍了。喜欢在留下东西炫耀的黑客大部分不是初级的就是故意侮辱对方，玩闹的目的更大一些。对于商业机构，则永远是最有价值的目标，不管现实中还是互联网，它们都是大蛋糕，只是没多少人会为了防范入侵而投入巨大的成本，往往都是被入侵后亡羊补牢。
漏洞与影响不同，对应的难度不同。开源和闭源，任何程序都有漏洞，任何人也不可能说保证绝对安全。网站也是分层次的。难易度不同。客户端能控制修改的数据包内容就是隐患，但凡有个页面对提交数据未验证，那就是漏洞。
国内网站被黑是常态大部分网站没有专人定期维护使用的很多建站程序内核有漏洞载一个很多不靠谱的IDC服务器安全防护不坚固dedecms漏洞之王是问题最多的
自己的服务器不会使用权限降低被小漏洞弄到系统权限很可怕，不会用程序监视网站文件是否被修改很可怕，以系统或管理员权限加载不必使用如此高权限的web服务很可怕，不会使用技术对抗同网段arp嗅探很可怕，白痴或没有安全意识的员工很可怕......对某xxx酒店入侵那和主题没什么关系吧，很明显站还是安全的，只不过人为安全缺失导致入口登陆泄漏
别的国家的不知道，至少中国的百分之九十九点九以上是不安全的。
没有绝对安全的网站，最主要是细节。。
如果裸奔的话肯定不安全喽，如果有装安全狗、云锁之类的服务器防护软件，那就会相对安全点，但是没有绝对的安全。目前服务器、网站所处的环境是极为不安全。举个栗子，现在服务器、网站所在的环境就好比是一个夜晚，而服务器、网站就好像一个极为美丽的女子，如果大晚上一个妹子裸奔夜行是不是很不安全？装了防护软件后就好似穿着严谨的的妹子再夜路疾行，虽然也不能绝对的安全，但绝对会比裸奔来得更安全吧？服务器、网站安全需要大家继续努力下去，只有当黑夜变为白天，所有人都衣衫楚楚，相信那时将会很安全}