當(dāng)前位置：新聞中心企業(yè)官網(wǎng)建設(shè)專(zhuān)題從一個(gè)網(wǎng)站的入侵思路來(lái)設(shè)置網(wǎng)站防火墻

12-312009

觀(guān)點(diǎn)

企業(yè)官網(wǎng)建設(shè)專(zhuān)題

從一個(gè)網(wǎng)站的入侵思路來(lái)設(shè)置網(wǎng)站防火墻

2009-12-31 企業(yè)官網(wǎng)建設(shè)專(zhuān)題

有的網(wǎng)站首先要看的是他的網(wǎng)站類(lèi)型，只要觀(guān)察網(wǎng)站類(lèi)型，能更好的應(yīng)對(duì)就能找到正確的方案。

哪個(gè)站點(diǎn)可以入侵:我認(rèn)為它必須是動(dòng)態(tài)站點(diǎn)，如ASP、PHP和JSP

如果點(diǎn)是靜態(tài)(.htm或html )，通常不會(huì)成功。

如果試圖入侵的目標(biāo)站點(diǎn)是動(dòng)態(tài)的，則可以利用動(dòng)態(tài)站點(diǎn)的脆弱性進(jìn)行入侵。

以下是入侵網(wǎng)站的常見(jiàn)方法

1 .脆弱性上傳

如果顯示“請(qǐng)選擇要上傳的文件”或“請(qǐng)登錄后使用”，80%會(huì)出現(xiàn)孔

上傳可能不一定成功。因?yàn)轱灨刹灰粯印?在WSockExpert中獲取cookie。重復(fù)使用

DOMAIN上傳

2 .打洞

由于文字過(guò)濾不嚴(yán)格

3 .暴庫(kù):將次要目錄中間的/更換為%5c

4.'or'='or '這是可以連接到SQL的語(yǔ)句。你可以直接進(jìn)入后臺(tái)。

我收集了。有類(lèi)似的東西

or''= '

" or "a"="a

' ) or ('a'='a )

" or ("a"="a )

or 1=1--

' or 'a'='a

以上的幾個(gè)是通常的手段，即在網(wǎng)上的攻擊，也有收集信息類(lèi)的攻擊手段。我不詳細(xì)寫(xiě)。是我們的社會(huì)工程。但是，收集情報(bào)等工作很辛苦呢

5 .寫(xiě)入ASP格式數(shù)據(jù)庫(kù)。特洛伊木馬上的“< 〈%execute request("value")%〉 >”(數(shù)據(jù)庫(kù)必須是ASP或ASA的后綴)

6 .源代碼的利用:一部分網(wǎng)站使用的是通過(guò)互聯(lián)網(wǎng)下載的源代碼。站長(zhǎng)懶散，什么也改變不了

例如，默認(rèn)數(shù)據(jù)庫(kù)、默認(rèn)背景地址和默認(rèn)管理員帳戶(hù)密碼

7 .使用默認(rèn)數(shù)據(jù)庫(kù)/WEBSHELL路徑:這樣的網(wǎng)站是很多人使用的webshell。

/Databackup/dvbbs7.MDB

/bbs/Databackup/dvbbs7.MDB

/bbs/Data/dvbbs7.MDB

/data/dvbbs7.mdb

/bbs/diy.asp

/diy.asp

/bbs/cmd.asp

/bbs/cmd.exe

/bbs/s-u.exe

/bbs/servu.exe

工具:網(wǎng)站獵人挖雞明子

8 .查看目錄的方式:有些網(wǎng)站可以斷開(kāi)目錄的連接或訪(fǎng)問(wèn)目錄。

210.37.95.65圖像

9 .使用搜索引擎:

inurl:flasher_list.asp

默認(rèn)數(shù)據(jù)庫(kù): database/flash.mdb

后臺(tái)/manager/

查找網(wǎng)站的管理后臺(tái)地址

site:xxxx.comintext :管理

site:xxxx.comintitle :管理〈關(guān)鍵字多，自己尋找〉

site:xxxx.cominurl:login

查找access數(shù)據(jù)庫(kù)、mssql和mysql連接文件

alliinurl:bbsdata

文件類(lèi)型: MDB inurl :數(shù)據(jù)庫(kù)

filetype:incconn

inurl :數(shù)據(jù)文件類(lèi)型: MDB

10.COOKIE詐騙:可以將自己的身份修改為管理員，也可以將MD5密碼修改為他，使用桂林老手工具修改

COOKIE。

11 .利用常見(jiàn)脆弱性:例如視頻公告欄

首先，您可以使用dvbbs權(quán)限增強(qiáng)工具使您成為前臺(tái)管理員。

THEN，運(yùn)用:使用網(wǎng)絡(luò)固定粘貼工具，找到固定粘貼，取得cookie。這個(gè)請(qǐng)自己做。我們可以用

WSockExpert獲取Cookies/NC包

這個(gè)我不做，在線(xiàn)教程多的是自己看下一個(gè)。

工具: dvbbs權(quán)限提升工具移動(dòng)網(wǎng)固定粘貼工具

12 .有個(gè)老洞。如果你看IIS 3，4，4的源代碼，

五個(gè)Delete CGI，PHP老洞，我不說(shuō)。的雙曲馀弦值。年紀(jì)太大了。沒(méi)什么大用處。

現(xiàn)在再介紹一個(gè)簡(jiǎn)單的情節(jié)入侵，情節(jié)入侵也是一種使用頭腦的騷擾

簡(jiǎn)單的腳本攻擊

這樣的攻擊是因?yàn)閃EB程序制作上的特殊字符的過(guò)濾不嚴(yán)密，所以不能說(shuō)服務(wù)器的安全性很低

雖然造成了嚴(yán)重威脅，但可以讓入侵者分發(fā)包含HTML語(yǔ)句的惡意代碼，擾亂站點(diǎn)秩序，訪(fǎng)問(wèn)站點(diǎn)

產(chǎn)生不良影響。以在某個(gè)網(wǎng)站進(jìn)行用戶(hù)注冊(cè)時(shí)，沒(méi)有過(guò)濾特殊字符為例

有可能被無(wú)聊者利用，如果論壇的管理者ID為“webmaster”，則有可能在注冊(cè)用戶(hù)名時(shí)進(jìn)行注冊(cè)

成為web主頁(yè)后，盡管ID有差異，但在頁(yè)面上顯示的內(nèi)容相同，無(wú)聊的人變更其他信息時(shí)

和webmaster一樣，很難區(qū)分這兩個(gè)ID中哪一個(gè)是真的還是假的。很多網(wǎng)站都是自己開(kāi)發(fā)的

支持留言板和HTML消息的提交，破壞者可以寫(xiě)自動(dòng)彈出窗口或打電話(huà)

如果打開(kāi)帶木馬的網(wǎng)頁(yè)代碼，其他人可能會(huì)看到此消息并種植木馬。防盜方法很簡(jiǎn)單

添加過(guò)濾函數(shù)后，可以執(zhí)行以下操作

" "。

函數(shù)SQL檢查( fstring )

fString = Replace(fString，'"，" )

fString = Replace(fString，"，" )

fString = Replace(fString，； "、""

fString = Replace(fString，--，" )

fString = Replace(fString，"，"")

fString = Replace(fString，("，" )

fString = Replace(fString，)"，""

fString = Replace(fString，= "，" )

fString = Replace(fString，% "，" )

fString = Replace(fString，* "，" )

fString = Replace(fString，"，" )

SqlCheck = fString

結(jié)束函數(shù)

%‘

上述過(guò)濾函數(shù)的String = Replace(fString，"，"")刪除語(yǔ)句中的""符號(hào)，以防止執(zhí)行HTML代碼。

上一篇：小型網(wǎng)站到大型網(wǎng)站分布式結(jié)構(gòu)的演化返回觀(guān)點(diǎn)列表下一篇：如果服務(wù)器只需要放置一個(gè)網(wǎng)站程序借助nginx不僅可以實(shí)現(xiàn)端口的代理，還可以實(shí)現(xiàn)負(fù)載均衡

本文標(biāo)簽：

本文地址： http://www.bmwdream.cn/a/763.html

相關(guān)專(zhuān)題

品牌官網(wǎng)設(shè)計(jì)
杭州派迪科技為高端客戶(hù)提供品牌官網(wǎng)咨詢(xún)策劃，品牌官網(wǎng)設(shè)計(jì)，品牌官網(wǎng)建設(shè)開(kāi)發(fā)服務(wù)，以國(guó)際化視野和標(biāo)準(zhǔn)為基礎(chǔ)，為各行業(yè)領(lǐng)軍品牌提供高端企業(yè)網(wǎng)站定制、策劃、設(shè)計(jì)、互動(dòng)與制作
查看詳情
大策略營(yíng)銷(xiāo)門(mén)戶(hù)網(wǎng)站
杭州派迪科技有自己的營(yíng)銷(xiāo)型網(wǎng)站CMS系統(tǒng)，適合白帽SEO網(wǎng)站。特別對(duì)大策略的營(yíng)銷(xiāo)型門(mén)戶(hù)網(wǎng)站制作有一定的經(jīng)驗(yàn)，曾經(jīng)為上海天擎外貿(mào)行業(yè)網(wǎng)站、浙江兆龍營(yíng)銷(xiāo)型門(mén)戶(hù)、先臨三維門(mén)戶(hù)營(yíng)銷(xiāo)網(wǎng)站提供全程的技術(shù)支持及SEO優(yōu)化指導(dǎo)
查看詳情
集團(tuán)/上市公司網(wǎng)站
杭州派迪科技為杭州本地集團(tuán)公司提供網(wǎng)頁(yè)設(shè)計(jì)、制作、開(kāi)發(fā)服務(wù)，為集團(tuán)公司網(wǎng)站建設(shè)提供了響應(yīng)式、營(yíng)銷(xiāo)型、品牌型、門(mén)戶(hù)型網(wǎng)站建設(shè)需求，歡迎廣大集團(tuán)公司客戶(hù)咨詢(xún)
查看詳情
外貿(mào)網(wǎng)站建設(shè)
杭州派迪科技為高端客戶(hù)提供外貿(mào)網(wǎng)站咨詢(xún)策劃，外貿(mào)官網(wǎng)設(shè)計(jì)，外貿(mào)官網(wǎng)建設(shè)開(kāi)發(fā)服務(wù)，以谷歌搜索引起算法為基礎(chǔ)，為各行業(yè)外貿(mào)公司提供高端企業(yè)外貿(mào)網(wǎng)站定制、策劃、設(shè)計(jì)、互動(dòng)與制作
查看詳情
企業(yè)網(wǎng)站建設(shè)
高端專(zhuān)業(yè)、令人印象深刻的用戶(hù)界面、易于訪(fǎng)問(wèn)——企業(yè)網(wǎng)站必須反映一切，因?yàn)榕傻峡萍荚谶@里提供幫助，憑借精湛的技術(shù)、豐富的經(jīng)驗(yàn)、與客戶(hù)的持續(xù)溝通以及對(duì)每一個(gè)細(xì)節(jié)的關(guān)注，我們確保在快速的周期時(shí)間內(nèi)提供優(yōu)質(zhì)的服務(wù)。
查看詳情
半定制網(wǎng)站
杭州派迪科技模板網(wǎng)站建設(shè)專(zhuān)題_各行業(yè)方案專(zhuān)題欄目提供各行業(yè)產(chǎn)品適合的網(wǎng)站建設(shè)方案,幫助企業(yè)了解派迪科技建站效果等信息,您可以通過(guò)本站了解各行業(yè)網(wǎng)站建設(shè)方案,如需要獲取本行業(yè)定制網(wǎng)站建設(shè)方案,可以聯(lián)系在線(xiàn)客服或撥打電話(huà)咨詢(xún)
查看詳情