discuz密碼加密

① 網站建設安全性如何保證

一、確保網站伺服器的安全
盡量選擇安全性高、穩定性強的伺服器。同時，及時更新伺服器的各種安全補丁，定期進行安全檢查，對伺服器和網站進行全面的安全檢查，防止隱患，及時修復安全漏洞。
二、選擇正確的語言程序
其實也沒有那種語言程序是絕對安全的，這樣要看我們的網站的具體要求，現階段一般都是採用ASP或者PHP等。
三、提防SQL注入漏洞
相信大部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。新手最容易忽視的問題就是SQL注入漏洞的問題，用NBSI2.0對網上的網站掃描，就能發現部分網站存在SQL注入漏洞，用戶可以提交一段資料庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據。
四、確保網站程序的安全性
程序是網路入侵的有效途徑之一：1、網站在開發過程中應選擇安全語言;2、確保網站後台安全，分配後台管理許可權，避免後台人為誤操作，必要時購買堡壘機加強安全保護;3、注意網站程序各方面的安全測試，加強SQL注入、密碼加密、數據備份、驗證碼使用等安全保護措施。
五、限制許可權及時安裝系統補丁
一般網站安全設置最好把寫入許可權關閉，因為這樣對方就篡改不了網站的文本信息了，及時更新系統補丁，伺服器做好安全許可權，如果網站用的別人的程序定期查看是否有補丁推出。
六、及時備份網站數據
保存在站點的數據被重點保護，定期的資料庫備份對於網站異常後的數據恢復是非常必要的。備份頻率可以根據企業自身需要決定，比如：電子商務類型的網站，由於每天更新用戶數據，資料庫應該每天備份，以確保用戶數據不會最大限度地丟失。
七、域名劫持監控服務
存在域名劫持攻擊手段，在劫持的網路范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則直接返回假的ip地址或者什麼也不做使得請求失去響應，使得對於特定的網址不能訪問或者訪問的是假網址。針對這一攻擊手段，對域名解析進行監測，一旦發現用戶網站訪問域名出現被攻擊劫持現象，立刻恢復故障。
八、不使用弱密碼
網路攻擊者往往從弱密碼中尋找突破點，最不應該導致弱密碼上的數據泄露。無論是企業網站還是其他IT資產，都需要強密碼進行基本保護。最好設置至少8-10個字元的強密碼，或者設置雙重驗證來提高網站的安全性。大寫字母、小寫字母、數字和符號的組合用於密碼。此外，盡量避免在其他系統中重復使用相同的密碼。

② discuz密碼用什麼加密的

Discuz!論壇系統通常使用「MD5+Salt」的加密方式來處理密碼。以下是對這種加密方式的詳細解釋：

1. MD5加密：

• MD5（Message-Digest Algorithm 5）是一種廣泛使用的密碼散列函數，可以產生一個128位（16位元組）的散列值（通常用32位的十六進制字元串表示）。
• 在Discuz!論壇系統中，用戶的密碼首先會通過MD5演算法進行加密。

2. Salt（鹽值）：

• 為了增強密碼的安全性，Discuz!在MD5加密的基礎上引入了Salt（鹽值）。
• Salt是一個隨機生成的字元串，它與用戶的密碼相結合後再進行MD5加密。
• 由於每個用戶的Salt都是唯一的，因此即使兩個用戶使用了相同的密碼，他們的加密結果也會不同。

3. 安全性考慮：

• 雖然「MD5+Salt」的加密方式在一定程度上提高了密碼的安全性，但MD5演算法本身存在被破解的風險。
• 隨著計算機技術的發展，MD5的碰撞攻擊（即找到兩個不同的輸入但產生相同輸出的情況）變得越來越容易。
• 因此，對於需要高安全性的應用場景，建議使用更安全的加密演算法，如SHA-256（Secure Hash Algorithm 256位）等。

綜上所述，Discuz!論壇系統通過「MD5+Salt」的加密方式來處理用戶密碼，但考慮到MD5演算法的安全性風險，建議在使用時謹慎評估，並在必要時採用更安全的加密演算法。

③ 怎樣掃描別人的網站

壹：先找注入漏洞，在一些新聞或者文章後面加上;或者'來測試是不是返回錯誤，如果返回錯誤的時候再試空格and 1=1 和and 1=2再看返回錯誤是否不一樣，不一樣的說明存在了注入漏洞，開始用各種注入工具進行注入測試發現是ACCESS的資料庫則直接暴用戶名和密碼來後台登陸，再找後台的漏洞看時候可以上傳或寫進ASP馬。如果是SQL的資料庫同樣可以暴帳號密碼，但發現SQL的許可權為SA的就可以直接在對方伺服器內增加ADMIN帳號SQL連接器連接即而開對方的3389埠開完全控制。

貳：找各種附帶上傳功能的程序，比如動力文章、螞蟻影視、同學錄等等，接下來要注冊的進行注冊不需要注冊的可以把該上傳功能保存為本地HTM文件來看是否本地限制格式，如果不是的話那就利用林子大哥做的欺騙上傳的HTM或者用NC等工具來抓包進行修改然後再上傳ASP馬。有些程序則需要你把該程序的源代碼下下來之後查看上傳是否可行和上傳的真確地址。

叄：利用%5c進行暴庫如果是.mdb格式的則直接下載，利用資料庫查看的工具進行查找帳號和密碼，如果密碼加密就用dv.exe進行破解只破解純數字和純字母！數字字母混合的實在太廢時間了不推薦。如果對方資料庫為.asp後綴的，那就更好辦了在你能填寫的信息里填寫<%execute request("l")%>的代碼來使資料庫只執行這個代碼就可以用藍屏大叔的木馬客戶端來連接對方的資料庫上傳大的ASP馬。

肆：尋找網站各種程序後台，程序越多越好，登陸時先用 'or''=' 帳號密碼來測試是否有最老的ASP漏洞，如果都不行再測試默認的帳號密碼，一般均為admin或者有的密碼為admin888等等。

伍：尋找動網論壇，呵呵 現在大部分都網站都用此論壇程序。動網論壇被高手稱為洞網因為其漏洞實在太多了1、上傳漏洞，我就不想多說了就是利用upfile.asp 2、默認資料庫漏洞，很多的弱智管理員都不改資料庫名稱的在data/dvbbs7.mdb就可以把資料庫下載下來了，再加上dv_log表段看帳號密碼使得動網論壇的資料庫加密行同虛設。3、虛擬形象插件漏洞，裡面同樣存在上傳漏洞利用方式和upfile.asp一樣。4、下載中心插件漏洞，一樣的上傳漏洞利用方式。5、資料庫備份默認地址漏洞，有些管理員改了資料庫的地址，但是由於疏忽而沒改備份後的資料庫路徑地址存在於databackup/dvbbs7.mdb下載下來後和上面第2條用法一樣。（有許多的論壇都存在漏洞比如Discuz2.2F等等。。）

陸：各種留言本或日記存在默認資料庫漏洞，因為是個小程序所以改的人也不是很多。只要下載該程序下來就可以知道資料庫地址了。也有很多別的辦法可以知道資料庫地址，如：暴庫、查看conn.asp的源文件、還有就是利用該程序管理員的疏忽 就是在地址後面打上（程序說明.txt、說明.txt、readme.txt等等）自然就會告訴你它的默認地址了^ ^找到了地址之後可以利用獲得的管理員密碼來破該站所在的別的管理員密碼，很管用的呦 呵呵，還有就是asp結尾的資料庫大家可以參照上面的叄用藍屏大叔的木馬來入侵。

柒：利用旁註來進行入侵，有時候大家都一個站一點辦法都沒有，那怎麼辦呢？呵呵 這個站沒有漏洞並不說該站所在伺服器別的站也不存在漏洞，那我們就可以利用查找該伺服器玉米的工具來找別的站，然後找到別的站之後再來循環上面的壹~~陸。