昨天我看了一下网站流量统计,发现最近几个月来,站内的一篇有关计算机网络病毒的访问量居高不下;是计算机网络病毒,一直是很多人关心的,包括我们客户,而黑客也是很多用户谈及色变的,前段时间,我有看到一篇文章说到:“目前,网站入侵已经变得非常简单,门槛越来越低,随便哪个菜鸟只要在黑客网站上下载入侵工具,即可开始入侵”,那今天我就来讲讲,我对网站入侵的认识!
我们可以看到,现在的网站几乎都是静态的,也就是后缀名为 .htm 或 .html ,不过动态的网站也是可以见到的,如 php、jsp、asp 这种形式的,但就是这样的动态网站成了入侵的对象!因为如果要入侵那些静态网站,成功概率很低,除非直接搞定了这个网站所在的服务器,但这就不是网站入侵技术范畴了;其实很多时候,只要一些简单的措施,就可以杜绝一大批入门级和初级黑客的,并且对于普通的企业网站来说,已经比较安全了。那下面我就讲讲,最常用网站入侵技术:
注入漏洞:首先我们要说的当然就是注册漏洞了,我们知道这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。
造成注入漏洞的原因是因为字符过滤不严禁,可以得到管理员的帐号密码等相关资料,现在有很多工具可以用来猜解帐号密码。
上传漏洞:利用上传漏洞可以直接得到WEBSHELL,这也是常见的漏洞。网站入侵者会在网址后加上/upfile.asp,显示:上传格式不正确 [重新上传] ,基本就存在长传漏洞,找个可以上传的工具(DOMAIN3.5)直接可以得到WEBSHELL;而WEBSHELL其实只是是个WEB的权限,修改别人主页都需要这个权限,不过到权限设置不好的服务器,通过WEBSHELL是可以得到最高权限的。
暴库(也就是直接下载到数据库):我们不难看到,一些新手从网上直接下载一个免费的程序,上传上去就直接用了,而这种站是被黑的主要对象了;运用网上的说法就是“交字符得到数据库文件,得到了数据库文件,就直接有了站点的前台或者后台的权限”;
还在学校的时候,老师千叮咛万嘱咐,要想确保数据安全,网站在上线后,应该进行测试数据库渗透测试,不过据我在深圳网站建设公司工作以来,了解到,这要找专业的安全公司!除非你自己或身边有这样的技术强人!
如果你要在网上下载这样的程序来用的话,最好是要把路径改一下,并且数据库文件是以asp结尾的,就在下载时,把asp 换成 MDB,如果还不能下载的话,就是有可能做了防下载!
至于旁注,简单的讲就是通过曲线达到入侵的目的,不过DOMIAN3.5可以检测注入、旁注、上传等入侵;而COOKIE欺骗的话,其实是通过利用工具修改cookie (ID 、MD5),欺骗系统认为是管理员,从而达到入侵的目的!
【本文原创,转载请注明出处 深圳网站建设 http://www.eims.cc/】
感谢 freegn 的投稿