網(wǎng)站是黑客最喜歡的入侵目標，不僅可以植入惡意代碼劫持流量獲利，還可以進一步入侵服務(wù)器，進行勒索或植入挖礦病毒，以及入侵其他網(wǎng)站擴大入侵范圍。

經(jīng)護衛(wèi)神統(tǒng)計，在線上傳攻擊是入侵網(wǎng)站常用的攻擊方式，黑客利用網(wǎng)站的在線上傳漏洞，繞過系統(tǒng)安全驗證，非法植入網(wǎng)頁木馬或后門程序，再通過這些木馬后門實施篡改網(wǎng)站、植入惡意代碼、竊取數(shù)據(jù)等破壞行為。

那么怎么杜絕在線上傳漏洞呢？

或許你首先想到的是優(yōu)化網(wǎng)站程序，修復上傳漏洞。乍一看這個方法非常好，但實際操作起來難度非法大，幾乎不可行。一是因為這些網(wǎng)站程序往往都很復雜，根本不知道如何下手。二是修復一個漏洞的同時可能帶來新的漏洞，漏洞無止境。

如果網(wǎng)站不使用在線上傳功能，最簡單有效的辦法就是刪除在線上傳功能的相關(guān)文件。沒有了在線上傳程序，神仙也沒法上傳網(wǎng)頁木馬。

如果網(wǎng)站要使用在線上傳功能，那就只有換其他方法了。

我們先了解一下什么是網(wǎng)頁木馬和后門？

網(wǎng)頁木馬和后門其實就是普通的網(wǎng)站腳本程序，一般由ASP、PHP、ASP.net、JSP等語言編寫，只是主要起破壞作用，例如任意上傳文件、批量篡改文件、非法操作數(shù)據(jù)庫、掃描系統(tǒng)漏洞等等。我曾經(jīng)見過有人用后門程序來管理網(wǎng)站的。

如果限制網(wǎng)站只能上傳圖片等靜態(tài)文件，不允許上傳ASP、PHP、ASP.net、JSP等動態(tài)腳本文件，不就完美解決在線上傳漏洞了。幾乎所有的在線上傳程序都有限制文件類型的功能，但是很不幸，基本上都存在驗證缺陷，這也是在線上傳漏洞出現(xiàn)的原因。

為了確保效果，我們需要使用第三方手段，建議使用防篡改系統(tǒng)來解決。我們以《護衛(wèi)神.防入侵系統(tǒng)》為例，在“篡改防護”模塊，可以對每個文件類型、每一個文件、每一個目錄做防篡改保護，規(guī)則非常強大，精準限制允許上傳的文件類型。

首先，限制整個網(wǎng)站防篡改，只給讀取權(quán)限（如下圖一）

（圖一：添加網(wǎng)站全站防篡改）

然后在高級規(guī)則，逐條添加允許上傳的文件類型；權(quán)限除了禁止執(zhí)行外，其他全部開放（如下圖二）

（圖二：添加允許上傳的文件類型）

所有高級規(guī)則（如下圖三）

（圖三：所有高級防篡改規(guī)則）

特別提示：如果網(wǎng)站有臨時文件需要寫權(quán)限（例如緩存目錄），可以對整個緩存目錄開放寫權(quán)限，但務(wù)必限制該目錄禁止執(zhí)行動態(tài)腳本，可在“護衛(wèi)神.防入侵系統(tǒng)-網(wǎng)站防護-訪問保護-靜態(tài)目錄保護”模塊設(shè)置（如下圖四）

（圖四：禁止這些目錄執(zhí)行動態(tài)腳本）

如果網(wǎng)站是主流的CMS系統(tǒng)，也可以在 “添加CMS防護”快捷添加無副作用的防篡改規(guī)則（如下圖五）

（圖五：快捷添加無副作用的CMS防篡改規(guī)則）

當黑客上傳動態(tài)腳本時，攔截效果如下圖六

（圖六：攔截黑客上傳木馬的日志）

通過上述設(shè)置后，黑客就沒法通過在線上傳漏洞植入網(wǎng)頁木馬和后門了，是不是非常簡單有效，如果你也有此漏洞困擾，趕緊部署吧。