面对网站入侵 要学会知己知彼百战百胜
2019-03-18 05:38:56来源: www.eims.cc 阅读 ()
昨天我看了一下网站流量统计,发现最近几个月来,站内的一篇有关计算机网络病毒的访问量居高不下;是计算机网络病毒,一直是很多人关心的,包括我们客户,而黑客也是很多用户谈及色变的,前段时间,我有看到一篇文章说到:“目前,网站入侵已经变得非常简单,门槛越来越低,随便哪个菜鸟只要在黑客网站上下载入侵工具,即可开始入侵”,那今天我就来讲讲,我对网站入侵的认识!
我们可以看到,现在的网站几乎都是静态的,也就是后缀名为 .htm 或 .html ,不过动态的网站也是可以见到的,如 php、jsp、asp 这种形式的,但就是这样的动态网站成了入侵的对象!因为如果要入侵那些静态网站,成功概率很低,除非直接搞定了这个网站所在的服务器,但这就不是网站入侵技术范畴了;其实很多时候,只要一些简单的措施,就可以杜绝一大批入门级和初级黑客的,并且对于普通的企业网站来说,已经比较安全了。那下面我就讲讲,最常用网站入侵技术:
注入漏洞:首先我们要说的当然就是注册漏洞了,我们知道这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。
造成注入漏洞的原因是因为字符过滤不严禁,可以得到管理员的帐号密码等相关资料,现在有很多工具可以用来猜解帐号密码。
上传漏洞:利用上传漏洞可以直接得到WEBSHELL,这也是常见的漏洞。网站入侵者会在网址后加上/upfile.asp,显示:上传格式不正确 [重新上传] ,基本就存在长传漏洞,找个可以上传的工具(DOMAIN3.5)直接可以得到WEBSHELL;而WEBSHELL其实只是是个WEB的权限,修改别人主页都需要这个权限,不过到权限设置不好的服务器,通过WEBSHELL是可以得到最高权限的。
暴库(也就是直接下载到数据库):我们不难看到,一些新手从网上直接下载一个免费的程序,上传上去就直接用了,而这种站是被黑的主要对象了;运用网上的说法就是“交字符得到数据库文件,得到了数据库文件,就直接有了站点的前台或者后台的权限”;
还在学校的时候,老师千叮咛万嘱咐,要想确保数据安全,网站在上线后,应该进行测试数据库渗透测试,不过据我在深圳网站建设公司工作以来,了解到,这要找专业的安全公司!除非你自己或身边有这样的技术强人!
如果你要在网上下载这样的程序来用的话,最好是要把路径改一下,并且数据库文件是以asp结尾的,就在下载时,把asp 换成 MDB,如果还不能下载的话,就是有可能做了防下载!
至于旁注,简单的讲就是通过曲线达到入侵的目的,不过DOMIAN3.5可以检测注入、旁注、上传等入侵;而COOKIE欺骗的话,其实是通过利用工具修改cookie (ID 、MD5),欺骗系统认为是管理员,从而达到入侵的目的!
【本文原创,转载请注明出处 深圳网站建设 http://www.eims.cc/】
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:网址决定内容
下一篇:PJBlog 博客详细安装教程
- 互联网产品运营基础_网站常见盈利模式(上) 2020-03-30
- 互联网产品运营基础_网站常见盈利模式(上) 2020-03-27
- 亲身经历:3天解决网站被百度网址安全中心拦截的方法 2019-12-13
- 亲身经历:3天解决网站被百度网址安全中心拦截的方法 2019-12-13
- 网站搜索引擎优化,值得关注的4个策略有哪些? 2019-10-16
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash