企业网站建设

建站知识

今日已发布信息: 172069
累计注册用户: 82306177

营销型网站谁做的好?属-网站天生具有营销力

营销型网站 做出来的网站 广告投放

概述: 让您的网站在同行中异军突起,独领鳌头。     第二:做出来的网站开生具备营销性,推广成本低:都知道,媒体广告费用很高,广告投放也是一门学问,很多企业在选择广告投放时不考虑营销效果,而是减少开支;其实,静下心来,找一家专业的营销型建站公司即可让网络营销事半功倍。       第三:做出来的网站体验好:我们可通过完美的站内交互体验,将客户牢牢的留在站内,通过在线聊天工具等多种形式与客户主动沟通交流;成本要低都知道,媒体 广告费用很高,广告投放也是一门学问,很多企业在选择广告投放时不考虑营销效果,而是减少开支;其实,静下心来,找一家专业的营销型建站公司即可让网络营 销事半功倍。

    营销型网站谁做的好?肯定属,做出来的网站天生具备营销力,他们的专业度也是不可比拟的,那么做出来的网站有什么特点呢?为什么会有这么多的企业相信的网站呢?针对这样的情况我们需要从下面几个方面去了解营销型网站的特点,只有了解这些才能更好的找到人,做对事:     第一:制作营销型网站实力强:强大全面的网站结构,让您的网站在同行中异军突起,独领鳌头。     第二:做出来的网站开生具备营销性,推广成本低:都知道,媒体广告费用很高,广告投放也是一门学问,很多企业在选择广告投放时不考虑营销效果,而是减少开支;其实,静下心来,找一家专业的营销型建站公司即可让网络营销事半功倍。       第三:做出来的网站体验好:我们可通过完美的站内交互体验,将客户牢牢的留在站内,通过在线聊天工具等多种形式与客户主动沟通交流;成本要低都知道,媒体 广告费用很高,广告投放也是一门学问,很多企业在选择广告投放时不考虑营销效果,而是减少开支;其实,静下心来,找一家专业的营销型建站公司即可让网络营 销事半功倍。

 

  无锡定制手机网站制作  初一   今日推荐免费建站   分类信息   六安网站建设公司

 

    第四:做出来的网站形象好。企业或产品的形象是营销型网站的基本要求,一个好网站需要具备超强的视觉营销效果,以求令目标客户记住,从此奠定您的行业地位。     第五:做出来的网站营销广:传统宣传途径,有它的先天不足,如:"无法持续性,无记忆性",而好的营销型网站就能做到随时随地对您的产品进行24小时不间断营销推广,您的客户可以在任何地方任何时间通过搜索引擎找到您,这就是营销型网站。     第六:做出来的网站定位准:完美的策划方案能够让您的网站在同行间异军突起,让你的产品更快速、最大价值化的销售出去,更让你的目标客户第一眼就爱上你。

 

互联网网站认证的哪些事

  网站认证本来是无人问津的东西,因为无非就是对网站举办者的身份进行核实,颁发一个认证证书(电子版),这东西究竟有多大的可靠性,我们不得而知。可是自360杀入搜索市场后,推行绿色网站认证,并接入中国电子认证服务产业联盟的数据,自此以后各路搜索引擎纷纷接入相关的网站认证信息。那么目前就有哪些单位提供网站认证呢?以下是七七范文网站长给大家整理的互联网认证的单位(网站)

  一、中国电子认证服务产业联盟

  中国电子认证服务产业联盟(www.ceaia.org.cn)由中国电子信息产业发展研究院联合电子认证服务产业链上下游企业发起成立中国电子认证服务产业联盟。联盟是在工业和信息化部的指导下,由积极投身于电子认证服务产业,从事电子认证服务、应用推广、专业设备提供、技术和软件开发、基础设施建设及产业战略规划研究的企/事业单位及有关机构自愿组成的、非营利性的社会组织。该网站认证结果直接在360搜索中展示。

  

 

  二、安全联盟

  百度安全联盟(www.anquan.org),是一家由百度、腾讯、金山等10多个互联网公司组成的“安全联盟”。百度安全联盟将聚合行业内安全领域领导厂商的力量,为安全搜索保驾护航。安全联盟认证主要包括:网站主办方资质、安全监测、官网认证等。该联盟认证的网站会在百度搜索结果中出现“V”字,并提示由安全联盟认证的标示。

  

 

  三、中国互联网信用评价中心

  根据商务部(原全国整规办)、国资委、工业和信息化部有关文件,中国互联网协会成为开展互联网行业企业信用评价工作的试点单位和实施单位。为了更好地开展工作,中国互联网协会专门成立“企业信用评价中心”和“企业信用评价专家评审委员会” (www.itrust.org.cn)。网信认证包括:网站身份的真实性和合法性的核实,客服电话的核实,客户隐私信息保护的评估,网站用户满意度的监测。

  

 

  四、北龙中网可信网站验证

  北龙中网(北京)科技有限责任公司(简称中网)由中国科学院计算机网络信息中心(中国互联网络信息中心)资产管理公司出资组建,负有将科技创新成果产业化的职责,是互联网基础服务领域重要的科技创新产业化平台。

  

 

  "可信网站"验证,是中网(knet.cn)推出的第三方网站真实身份验证服务,它通过对域名、网站、工商登记或组织机构信息进行严格交互审核来验证网站真实身份,此外,还可根据网站需要开通"网站运行监护、网页篡改监护、木马病毒监控"等网站安全服务。该网站认证数据可被搜狗、百度调取。

  五、中国电子商务协会

  中国电子商务协会www.szfw.org是由信息产业部申请,经国务院批准,国家民政部核准登记注册的全国性社团组织,其业务活动受信息产业部的指导和国家民政部的监督管理。此网站认证需收取数千元的认证费用。

  

 

  六、百度推广认证

  参加百度推广,获得百度对企业资质的认可即可得到此认证。该认证加V展现在百度搜索结果中。

  

 

  总结:网站认证目前主要面向企业,一般都有一定的门槛,不是随随便便就能取得认证的。

美女聊天站关键词失而复得的经过

  今天早上本人照常打开美女聊天站查看一下网站情况,用关键词美女聊天,美女视频聊天,视频聊天全搜索不到。心里可着急了。这个站虽然没怎么维护,但每个月也能给我带来1000元的收入,不想失去它。然后我site一下域名,网址还在。直接搜索域名也在,然后查看了小流量的关键词,并没有完全消失。这就证明百度没有K我的站,而是K了部分重要关键词。

  通过搜索引擎了解到,百度K关键词,有几个原因:一是关键词堆积密度过大,二是友情链接出问题,三是改版,改title所引起。四是域名指向的问题。

  根据这几个原因,我制定出方案:

  一:网站整体改版,把title关键词重复的去掉。把描述的多余关键词删掉。

  二:去掉不安全的友情链接,一下子卸掉了四个站的友情链接。

  三:我原来有四个cn域名全部指向该网站,现在也全部删除这四个域名跳转。

  到了9点左右百度微调,哈,关键词全部回来了。

  美女聊天第一页

  美女视频聊天第三页

  视频聊天第八页

  虽然不同程度的掉了一页,不过总算回来,还是值得庆贺。

  然后site了一下,还是原来的快照,根据常理,修改title也会导致降权,又换回来了原来的网页模版。

怎样用产品思维让过气明星咸鱼翻身

  文/金错刀(微信公众号ijincuodao)

  《我是歌手》应该算是2014年最给力的产品之一。让几个过气的明星,如韩磊、黄绮珊、邓紫棋重回一线。最奇葩的是黄绮珊,过去基本淡出音乐圈,现在其商演价格逼近45万元,几乎涨了20倍。

  用产品经理思维来看,有几个关键点值得借鉴:

  1、做产品的核心就是找痛点,找差异化。《我是歌手》杀出重围其实并不容易,当时是草根选秀当道,观众看的是草根选手的奋斗精神和认同感,但这已经产生了审美疲劳。韩国版本的《我是歌手》反其道而行之。MBC电视台邀请韩国一线最具实力的7位歌手打擂台,通过观众直接投票方式选出第一至第七,采用末位淘汰制,出局的歌手由新进的歌手顶替,最终选出“歌王”。这种明星级的PK感,更加痛点。

  2、制造参与感。一是给每个明星配备编剧,挖掘歌手身上的话题和线索。一是运营观众,每期在现场观看竞演环节的500名观众是分5轮从5万名左右的实名报名人员中筛选出来的。这些被选中的观众通常较为感性,理解音乐,活泼大方,现场的8台摄影机将始终停留在他们的脸上,捕捉他们每一秒细微的变化。

  3、互联网传播。微博、微信等渠道的热烈讨论也形成“滚雪球效应”。无论是“邓紫棋失恋”、“周笔畅恋爱”,还是“张杰走后门”,几乎每个话题都引起关注。

  4月4日,《我是歌手》第二季总决赛后的新闻发布会上,获得冠军的韩磊调侃道:“终于出名了,现在没有灯照着我都有点不习惯了。”过去3个月,这位出道23年的蒙古族大汉经历了人生中最密集的采访和电视台演出,甚至每次到长沙录制节目都会有大批80后甚至90后、00后歌迷守候在机场,像见到韩国偶像一样激动地冲着他大声尖叫。

  这对以前的韩磊来说有点不敢想象。尽管他演唱了超过700首歌曲,但其中绝大部分属于影视剧歌曲,“只闻其声,不见其人”。“以前都是命题作文,人家让你唱什么就唱什么。”他说。大多演唱主旋律歌曲和蒙古民歌的韩磊被贴上了“晚会歌手”的标签。如今他的公众形象发生180度大转变,有了“萌叔”等外号。目前韩磊正在准备人生首场演唱会。

  韩磊不是第一位通过这个平台“咸鱼翻身”的歌手。《我是歌手》第一季的参赛选手中,原零点乐队主唱周晓鸥、台湾歌手林志炫由此重回一线;2006年“超级女声”冠军尚雯婕拿下新代言,在其微博上表示“(20)06年与(20)13年,让我重生”;而被称为“黄妈”的黄绮珊是最闪亮的金子。“黄绮珊是湖南卫视制造明星的一个标志点。”唱片公司当然娱乐总经理张勇说。

  做产品就是找痛点

  2012年,当《我是歌手》正式启动时,节目总导演洪涛向导演组提出邀请黄绮珊,遭到了一致反对。

  反对者认为,如果选择一位没有知名度的选手,和之前草根选秀没有区别。

  在草根选秀的“红海”中,草根选手的奋斗精神和认同感早已失去了吸引力,电视台只好转向话题炒作式的娱乐玩法。在打着音乐旗号的选秀节目中,音乐不再被人重视,而是沦为一种工具,被快速和肤浅地消费着。在刘熙晨看来,同时消耗掉的还有观众的热情,“观众对于千篇一律的选秀节目开始感到疲惫”。

  湖南卫视急需一档拥有差异化优势的节目来度过瓶颈期。相比已经成熟的草根选秀,韩国版本的《我是歌手》反其道而行之。MBC电视台邀请韩国一线最具实力的7位歌手打擂台,通过观众直接投票方式选出第一至第七,采用末位淘汰制,出局的歌手由新进的歌手顶替,最终选出“歌王”。明星为了观众的选票和实现个人的商业价值,前期熬夜准备,比赛中舞台上卖力歌唱,结束后焦急等待,这种心理地位反转制造了新的观看体验。“电视平台开启了新的造星模式。”张勇说。《我是歌手》站在了明星已有商业包装的基础上,而不是完全另起炉灶。

  可是,想在中国照搬这种模式不容易。在韩国,大量演出资源垄断在仅有的3家电视台手中。这也是为什么韩国明星综艺节目中电视台处于绝对主动的原因。而在中国,明星作为一种稀缺资源,处于优势地位,在与电视台的谈判中掌握更大的议价能力。

  这增加了《我是歌手》寻找一线歌手参加的难度。当洪涛带着“办一档一线歌手pk擂台”的想法寻找竞演嘉宾时,几乎所有歌手都拒绝了他。洪涛透露,一些歌手表示如果只是表演没有任何问题,但绝不能作为竞演选手参加。《我是歌手》第二季参演歌手张宇面对《商业周刊/中文版》说出了众多歌手的心里话,“说的好听点是爱惜羽毛,江湖闯荡这么多年,被人比下去会不会不好看?而且如果表现不好,会不会影响到商演?”

  洪涛不得不将选角重心转向实力强劲但知名度相对较低的歌手群。这就有了《我是歌手》第一季云集黄贯中、沙宝亮等人,也有了年过四十的黄绮珊一鸣惊人的表现。

  罗琦的咸鱼翻身故事

  作为摇滚乐队指南针的时任主唱,罗琦在17岁时就被圈内称为“中国摇滚第一女声”。但成名之后的她遭遇了接二连三的沉重打击。1993年因酒后与人斗殴,罗琦的左眼被摘除,1998年又因吸毒而被媒体曝光,随后她选择退出音乐舞台远赴德国生活。当2006年重新回国寻求发展时,她已经没有太多的资本再在这个市场中换取想要的东西。

  “我们通过先进的电视生产手段做到了第二次包装。”洪涛说。罗琦的故事性以及其歌声中的情感诠释,恰好成为电视台制作音乐类真人秀的擅长之处,这修正了此前唱片包装流水线中的形象化和标签化的僵硬短板。“我们这个平台和唱片公司模式不一样,我们要讲出歌手的情感和故事。”《我是歌手》制片人都艳说。

  在《我是歌手》第二季单期120分钟左右的节目时长中,竞演和真人秀环节各自占据一半。在制作中,每一首演唱的歌曲都被视为一部拥有饱满情节的电影,歌手的故事和歌曲的情愫得以展现。

  通过这种真人秀的方式,洪涛试图放大歌手的某些魅力之处,弥补单纯依靠歌曲传递感情所可能出现的失真。当因为有孕在身需要退出比赛时,罗琦通过一曲《给所有知道我名字的人》辅之以真人秀的讲述,将曾经奔波的生活悲苦和即将成为母亲的幸福融合起来,精准地传递给观众,引发感情共鸣。当黄绮珊在第一季第九期舞台上演唱前夫所作的《剪爱》时,她的眼泪、唱功和被人重新翻起的往事一并传输给观众。“这种情节化的音乐,让人听起来感觉很不一样,对歌手的认识也会不一样。”洪涛说。

  邓紫棋咸鱼翻身背后:互联网传播

  也许黄绮珊和韩磊都老了。《我是歌手》第二季中,来自香港的90后女歌手邓紫棋成为当之无愧的“黑马”。相比2005年选出冠军李宇春的短信投票,这一次将她捧为人气王的是互联网。

  不同于传统香港流行音乐歌手,邓紫棋的性格更为鲜明饱满——这适合互联网传播的需求,也深得年轻粉丝的喜爱。她是一名不折不扣的微博控,在上面和粉丝拉家常、卖萌、吐槽大牌明星、关心社会话题、隐晦指责分手男友。很难说这不是有意为之。她还通过微博连续推出“邓紫棋体验生活”系列,变身天气预报员、奶茶妹妹、仆人等不同角色,并为新专辑录制了《后海卖唱》等短视频。邓紫棋经纪人张丹接受台湾《联合报》采访时透露,邓紫棋一场商演的身价相较参赛前已飙升20倍,从最初的3万元升至60万元。

  互联网已经深深介入到《我是歌手》的包装流程中。《我是歌手》第一季在互联网上累计播放量超过9亿次。2013年底,乐视网购得《我是歌手》第二季独家互联网版权。从1月3日邓紫棋以一首《泡沫》引发关注后,乐视网基于数据分析及时将其列为重点推介的歌手。该网站还以每周五《我是歌手》第二季直播为中心,辅以周一至周三常规推广,周四预告推广,周五直播信息热推,周六周日节目视频、热点话题、数据密集推广等手段,不断制造话题。根据乐视网数据,截至4月14日,《我是歌手》在该网站上的累计播放量已经超过了15亿次。《我是歌手》第二季为乐视网带来了近2亿元的广告收入。

  微博、微信等渠道的热烈讨论也形成“滚雪球效应”。无论是“邓紫棋失恋”“周笔畅恋爱”,还是“张杰走后门”,几乎每个话题都引起关注。关注度又会带来收视率。而在百度《我是歌手》贴吧,在1月10日《我是歌手》第二季第二集播出时,共有152万名网民参与节目的在线讨论,较之第一期首播当晚近40万的网民,人气上涨了近3倍。

实例教学!10个帮你运用好字体组合的设计准则

  编者按:选择与设计相符的字体、展现视觉的层次感、衬线体与非衬线体一起使用、避免字体冲突、避免使用相似的字体进行组合、限制你所使用的字体数量… 今天@心病狂十六夜 这篇译文总结了运用好字体的设计原则,都是基础但不可忽视的,适合新手学习或重温。

  01. 选择与设计相符的字体

  许多字体有着简便,开朗,正式,雅致等不同于其他氛围(英: Mood)或个性(英: personality)。制定设计字体的氛围,就需要优先确认。

  例如圆圆滚滚的字体,用在孩子生日宴会的邀请函上就非常合适,而公司的简报上就很不合适。

  

 

  因为人是有多种多样各不相同的(例如内向(英: Introverted)或者外向(英: Extroverted)等),因此才会有魅力。有着强烈的个性的字体,可以将他与简单的字体相组合以保持平衡。

  在下面的这个项目中,有特色的手绘风格字体,与衬线字体相结合,没有妨碍主字体的同时,下面的小字也保证了其可读性。

  

 

  当决定两个或以上的字体时,说不定就有一种玩联想游戏(英: Guessing Game)的感觉。大部分情况我们都是靠着自己的直觉来决定的,这其实没关系。

  无论是网页,杂志,商店用的海报,还是产品包装,什么样的字体组合好,什么样的不好,我们都是从联想字体开始的。

  

 

  02. 展现视觉的层次感

  很久之前发行的报纸或杂志,对展现字体组合的层次感有着非常好的示范作用。标题,副标题,正文,解说辞等要素都是靠着字体的组合,来将视觉划分开的。

  字体的尺寸(英: Size)粗细(英; Boldness),文字间距(包含了行距(英: Leading)和字间距(英: Kerning))的调整,都可以引导视线,将它们集中在你所希望的特定部分。

  

 

  层级(英: Hierarchy),就是在标题正文布局以外,你可以作成各种各样的的类型的设计。在给项目选择字体的时候,不妨想一想,你希望一开始就给用户看到什么地方。

  另一点,决定什么样的信息才是重要的。什么是最先跃入眼帘的(公司名字的标题,特别优惠等),然后决定什么内容是不重要的。然后,我们再来决定字体的大小样式和组合。通常,

  重要的内容都是用大字号,粗体来表示的。

  

 

  03.仔细想想是不是该用

  你需要知道什么样的环境,什么样的用途用什么样的字体,什么样的字体使用了会更加舒适。在实际表示的尺寸上,清晰易读是十分重要的,就算是特别小的文字也有必要保证易读。在下面这个案例中,不论是记载着小文字还是大文字的地方,文字间都留有特定的空间,在强调的同事保证了其易读性。

  

 

  然后,字体的尺寸会影响阅读。在一开始选择字体的时候,你就需要考虑他的设计性和可读性是否相匹配。(规则1说明,考虑文字的个性。)

  文字选择的过程中,标题使用的字体(英: display typefaces),选择有特点的字体还是中规中矩(英: Neutral)的字体,是非常重要的工作。在下面这个杂志的版面设计中,标题使用了两种字体,正文使用了无衬线字体。

  

 

  字体可以从具有历史性的背景或体裁中选择。你可以简单的研究一下字体的历史背景,以及,这个字体是在什么时候被创造的。或者说,知道了这个字体是在什么时代被利用的,你可以了解他是否与你的设计相匹配。

  例如在给描写美国总统亚伯拉罕·林肯(英: Abraham Lincoln)一生事迹的书做封面设计时,我们就可以使用美国南北战争(1861-1865)时使用的Caslon或Clarendon体。

  

 

  另一个案例,字体的种类,在设计的整体中担任很大的作用。下面这个案例,因为想表现出1950年代的复古感觉,字体采用了那个年代常用的广告或标识常用的字体。

  

 

  04. 衬线体与非衬线体一起使用

  如果没有时间了,需要你马上决定两种字体。在那个时候,我们可以选择一部分文字使用衬线体(英: Serif),而另一部分文字我们可以是用非衬线体(英: Sans Serif)。这样的组合大体上往往很不错,尤其是两种字体大小不一样的时候是最适合的。

  

 

  另外补充重要的一点,现在世界上的排字艺术(英:typography)中,关于衬线体和非衬线体哪一个更容易阅读有着很大的分歧。大量的文字和文章表明,衬线体的字体可以有效的转移视线,提高阅读速度,尤其在印刷品中效果非常明显。这里的研究文章引用的是这里,懂英语的朋友应该能理解:https://www.365128.com

  相反的非衬线字体有着简单的风格,在网上或者银幕上表现效果都很好,能让画面感觉变得更清晰。

  

 

  05. 要有对比意识

  另一个使用衬线体和非衬线体组合在一起的理由是,具有对比性。这种对比有很多关联性包含在里面,我们需要仔细考虑这之中的字体的层次感,相互之间的互补性等等。

  对比,可以通过字体的种类,大小,字体,文字间距,颜色等各种各样的方式来实现。下面这个样本案例,就是利用了粗体字与细体字相互组合而成的。这两种几乎180度大转变的风格,却很好的组合在了一起。

  因为每个字体都是不同的(英: Difference),所以各种字体都有着各种各样的意义。另外,大胆的使用了粉红色,让他比标题还要大两倍的字号,也不能错过,他很好的将非常细的字给强调了。

  

 

  06. 避免字体冲突

  在组合字体的时候,对比(英: Contrast)是非常重要的,同时也要避免它们相互冲突(英: Conflict)。不同的字体并不意味着他们可以很好匹配组合。一般来说,几个风格相似的字体,相同的比例,小字的高度(通常被称为x-height)非常的统一等都是值得注意的地方。这样就算他们的外观不同,设计从整体来说都是非常统一的。

  

 

  来看看下面这组字体组合吧。因为是衬线体和非衬线体,所以风格上是非常不同的。上面的字体非常圆润,字间距的设定都留有余地,而下面的字体偏细长,风格更加拥挤,我们可以看到对比非常的大。像头发一样细的衬线体与非常细的非衬线体,在强调他们的对比时应当更加注意。

  

 

  07. 避免使用相似的字体进行组合

  这在第五条介绍对比时也提到了,太过相似的字体组合也会成为问题。因为没有太大的区别,所以在制造层次感的时候就成了第一个问题。还有字体与字体之间的差异性,选择它的目的,以及他看起来就像是选错了的。

  但是,也没有必要选择完全不一样的字体。比较字体的重量,外形是非常重要的,字体过于相似,特别是使用相同尺寸的时候,会让用户混乱,让整体内容都变得模糊。

  选择两种字体并列,然后让我们一点点慢慢的进行分析。如果字体的外观上基本相同,由于选择的字体种类有着非常好的对比,这也是设计的很好的一个预兆。

  

 

  08.使用同一个系列的字体

  使用同一个系列的字体,一直都是一个非常稳妥的办法。我们可以在一个系列中找到各种各样的字体(不同的重量,样式,大小文字等),来充分的表达我们的设计项目。

  

 

  相同系列的字体进行组合,利用不同的大小,样式,重量(Light、Regular、Bold等),注意表现出他们的对比。

  

 

  利用欧文斜体字或Extended版本等字体系列,可以给你的设计创造出无限的可能。

  如果项目中规定只能使用一种字体,他的优点就是能让设计变得更加有效率。缩短了去寻找能完美组合的字体的时间。

  09. 限制你所使用的字体数量

  一般一个项目所使用的字体数量是两到三个,当然你也不必死守这这句话不放。如果你参加过杂志编辑工作,你也许能从中得到更多的经验,其实并没有什么硬性规定的。

  

 

  例如,参考风格华丽的维多利亚风格,像这样参考具有特色的设计风格时,你就更需要仔细推敲字体组合了。利用大量的字体,与设计相调和,得到的结果是平衡还是混乱,这是你需要注意的事项。

  

 

  但是什么样的设计要素,选择什么样的字体才是合适的,需要大量的设计项目来进行练习。选择什么样的字体,因为每个设计项目的不同,便会有不同的见解。如果你使用了大量的字体,而当别人一定要追根究底问你为什么使用这么多时,你完全可以不回答他。

  10. 勤加练习

  最后,我想这是一个好心的建议而不是规则。用你所知道的字体组合不断的联系吧。通过不断地努力与错误,最终你会得到属于你的创新能力。可能有完美的字体组合,但并没有完美做出他们的公式。

  无惧风险,相信自己,迎接更多的挑战。或者你有与规则不同的见解,但自己的字体组合感觉又不是很好,想想究竟是哪里错了,从失败中获得经验是非常有必要的。这次介绍的只是一些排版的基础,也希望你们能有更好的作品设计出来。一起来感受设计的乐趣吧~

文件上传漏洞及剖析漏洞小结


文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。

文件上传后导致的常见安全问题一般有:

1)上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行。

2)上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为(其他通过类似方式控制策略文件的情况类似);

3)上传文件是病毒、木马文件,黑客用以诱骗用户或者管理员下载执行。

4)上传文件是钓鱼图片或为包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈。

 

除此之外,还有一些不常见的利用方法,比如将上传文件作为一个入口,溢出服务器的后台处理程序,如图片解析模块;或者上传一个合法的文本文件,其内容包含了PHP脚本,再通过"本地文件包含漏洞(Local File Include)"执行此脚本;等等。

要完成这个攻击,要满足以下几个条件:

首先,上传的文件能够被Web容器解释执行。所以文件上传后所在的目录要是Web容器所覆盖到的路径。

其次,用户能够从Web上访问这个文件。如果文件上传了,但用户无法通过Web访问,或者无法得到Web容器解释这个脚本,那么也不能称之为漏洞。

最后,用户上传的文件若被安全检查、格式化、图片压缩等功能改变了内容,则也可能导致攻击不成功。


一、从FCKEditor文件上传漏洞谈起

FCKEditor是一款非常流行的富文本编辑器,为了方便用户,它带有一个文件上传功能,但是这个功能却出过多次漏洞。

FCKEditor针对ASP/PHP/JSP等环境都有对应的版本,以PHP为例,其文件上传功能在:

http://www.oiik.com/path/FCKEditor/editor/filemanager/browser/default/browser.html?,配合解析漏洞。

(一)IIS5.x-6.x解析漏洞

 

使用iis5.x-6.x版本的服务器,大多为windows server 2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。

 

目录解析(6.0)

 

形式:www.oiik.com/xx.asp/xx.jpg

原理: 服务器默认会把.asp,.asp目录下的文件都解析成asp文件。

 

文件解析

 

形式:www.oiik.com/xx.asp;.jpg

原理:服务器默认不解析;号后面的内容,因此xx.asp;.jpg便被解析成asp文件了。

解析文件类型

 

IIS6.0 默认的可执行文件除了asp还包含这三种 :

/test.asa

/test.cer

/test.cdx

 

(二)apache解析漏洞

 

漏洞原理

 

Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如 test.php.qwe.asd “.qwe”和”.asd” 这两种后缀是apache不可识别解析,apache就会把wooyun.php.qwe.asd解析成php。

 

漏洞形式

 

www.oiik.com/x.oiik.com/test.php.php123

 

其余配置问题导致漏洞

 

(1)如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test2.php.jpg 也会以 php 来执行。

(2)如果在 Apache 的 conf 里有这样一行配置 AddType application/x-httpd-php .jpg 即使扩展名是 jpg,一样能以 php 方式执行。

 

修复方案

 

1.apache配置文件,禁止.php.这样的文件执行,配置文件里面加入

2.用伪静态能解决这个问题,重写类似.php.*这类文件,打开apache的httpd.conf找到LoadModule rewrite_module modules/mod_rewrite.so

把#号去掉,重启apache,在网站根目录下建立.htaccess文件



(三)nginx解析漏洞

 

漏洞原理

 

Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。当访问www.xx.com/phpinfo.jpg/1.php这个URL时,$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”,然后构造成SCRIPT_FILENAME传递给PHP CGI,但是PHP为什么会接受这样的参数,并将phpinfo.jpg作为PHP文件解析呢?这就要说到fix_pathinfo这个选项了。 如果开启了这个选项,那么就会触发在PHP中的如下逻辑:

 

PHP会认为SCRIPT_FILENAME是phpinfo.jpg,而1.php是PATH_INFO,所以就会将phpinfo.jpg作为PHP文件来解析了

 

漏洞形式

 

www.oiik.com/UploadFiles/image/1.jpg/1.php

www.oiik.com/UploadFiles/image/1.jpg%00.php

www.oiik.com/UploadFiles/image/1.jpg/%20.php

 

另外一种手法:上传一个名字为test.jpg,然后访问test.jpg/.php,在这个目录下就会生成一句话木马shell.php。



(四)IIS7.5解析漏洞

 

IIS7.5的漏洞与nginx的类似,都是由于php配置文件中,开启了cgi.fix_pathinfo,而这并不是nginx或者iis7.5本身的漏洞。

5.配合操作系统文件命令规则

(1)上传不符合windows文件命名规则的文件名

test.asp.

test.asp(空格)

test.php:1.jpg

test.php:: $DATA

会被windows系统自动去掉不符合规则符号后面的内容。

 

如图访问ip/Netsys/HtmlEdit/fckeditor/editor/filemanager/connectors/test.html


点击Create Folder新建文件夹



用brup suite进行改包,将%2F改为a.asp。

点击Get Folders获得文件夹。


上传文件,我这里上传了一句话图片木马,然后能看到上传的路径,访问的是1.asp/FI201610191827336199.jpg,会被当作asp执行,用菜刀连接getshell。


二、绕过文件上传检查功能

一般都是通过文件名后缀检查。但是在某些时候,攻击者手动修改了上传过程中的POST包,在文件名后添加一个%00字节额,则可以截断某些函数对文件名的判断。因为在许多语言的函数中,比如在C、PHP等语言的常用字符串处理函数中,0x00被认为是终止符。受此影响的环境有Web应用和一些服务器。比如应用原本只允许上传JPG图片,那么可以构造文件名为oiik.com/.php[].JPG,其中[]为十六进制的0x00字符,.JPG绕过了应用的上传文件类型判断;但对于服务器来说,此文件因为0x00字符截断的关系,最终却变成了oiik.com/.php。

 

1.客户端校验  

一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。

  判断方式:在浏览加载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传.jpg/.jpeg/.png后缀名的文件,而此时并没有发送数据包。

客户端绕过  

可以利用burp抓包改包,先上传一个gif类型的木马,然后通过burp将其改为asp/php/jsp后缀名即可。

 

 

 

2.服务端校验

2.1 content-type字段校验  


文件类型绕过

我们可以通过抓包,将content-type字段改为image/gif

 

 

 2.2 文件头校验  

可以通过自己写正则匹配,判断文件头内容是否符合要求,这里举几个常见的文件头对应关系:

(1)  .JPEG;.JPE;.JPG,”JPGGraphic File”

(2)  .gif,”GIF 89A”

(3)  .zip,”Zip Compressed”

(4)  .doc;.xls;.xlt;.ppt;.apr,”MS Compound Document v1 or Lotus Approach APRfile”

 

文件头绕过  

在木马内容基础上再加了一些文件信息,有点像下面的结构

GIF89a<?php phpinfo(); ?>

 

 

2.3 扩展名验证

 MIME验证

MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。 

它是一个互联网标准,扩展了电子邮件标准,使其能够支持: 

非ASCII字符文本;非文本格式附件(二进制、声音、图像等);由多部分(multiple parts)组成的消息体;包含非ASCII字符的头信息(Header information)。 

这个标准被定义在RFC 2045、RFC 2046、RFC 2047、RFC 2048、RFC 2049等RFC中。 MIME改善了由RFC 822转变而来的RFC 2822,这些旧标准规定电子邮件标准并不允许在邮件消息中使用7位ASCII字符集以外的字符。正因如此,一些非英语字符消息和二进制文件,图像,声音等非文字消息原本都不能在电子邮件中传输(MIME可以)。MIME规定了用于表示各种各样的数据类型的符号化方法。 此外,在万维网中使用的HTTP协议中也使用了MIME的框架,标准被扩展为互联网媒体类型。

MIME的作用

使客户端软件区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。 Web服务器使用MIME来说明发送数据的种类,Web客户端使用MIME来说明希望接收到的数据种类。

 

一个普通的文本邮件的信息包含一个头部分(To: From: Subject: 等等)和一个体部分(Hello Mr.,等等)。在一个符合MIME的信息中,也包含一个信息头并不奇怪,邮件的各个部分叫做MIME段,每段前也缀以一个特

http://www.kvov.com.cn/jzxx24130.html