站長朋友你的網(wǎng)站安全了嗎
時間:2022-08-10 19:18:01 | 來源:建站知識
時間:2022-08-10 19:18:01 來源:建站知識
今天我閑著無聊就進了一個網(wǎng)站覺得那個網(wǎng)站還可以����,我發(fā)現(xiàn)那個網(wǎng)站是用ASP語言的�,我就隨便加了一個‘上去,居然出現(xiàn)了數(shù)據(jù)錯誤���,然后我再去猜解���,到最后把那個網(wǎng)站的帳號密碼猜解出來了。我沒有去更改他什么���,只是給他留言告訴他。現(xiàn)在很多的站有太多的注入點��。希望各位網(wǎng)管能做好一點����。不要搞太多的漏洞出來��,這不僅害人又害已�。
什么樣的站點容易被黑客入侵呢?
有人說��,我做人低調(diào)點�����,不得罪人��,自然沒人黑我了�。其實,就算你沒有競爭對手雇傭人黑你����,也會有好奇的或者練習(xí)技術(shù)的無聊黑客想入侵您的站一探究竟的。
所以�,什么樣的站容易被黑客入侵。不是壞人的站��,而是有漏洞的網(wǎng)站�����。
不論您的站是動態(tài)的網(wǎng)站,比如asp��、php�����、jsp 這種形式的站點����,還是靜態(tài)的站點,都存在被入侵的可能性���。
您的網(wǎng)站有漏洞嗎?如何知道您的網(wǎng)站有沒有漏洞呢?
普通的黑客主要通過上傳漏洞����、暴庫���、注入��、旁注等幾種方式入侵近7成網(wǎng)站的�����。當然��,還有更高級別的入侵行為��,有些黑客為尋找一個入侵點而跟進一個網(wǎng)站好幾個月的事兒都有���。我們先重點看看這些容易被黑的網(wǎng)站。
1�����、上傳漏洞
這個漏洞在DVBBS6.0時代被黑客們利用的最為猖獗���,利用上傳漏洞可以直接得到WEBSHELL���,危害等級超級高,現(xiàn)在的入侵中上傳漏洞也是常見的漏洞��。
漏洞解釋:
在網(wǎng)站的地址欄中網(wǎng)址后加上/upfile.asp如果顯示 上傳格式不正確[重新上傳] 這樣的字樣8成就是有上傳漏洞了找個可以上傳的工具直接可以得到WEBSHELL���。
工具介紹:
上傳工具���,老兵的上傳工具、DOMAIN3.5,這兩個軟件都可以達到上傳的目的����,用NC也可以提交。
專家解疑:
WEBSHELL是什么?許多人都不理解��,這里就簡單講下����,其實WEBSHELL并不什么深奧的東西,是個WEB的權(quán)限��,可以管理WEB���,修改主頁內(nèi)容等權(quán)限���,但是并沒有什么特別高的權(quán)限,(這個看管理員的設(shè)置了)一般修改別人主頁大多都需要這個權(quán)限���,接觸過WEB木馬的朋友可能知道(比如老兵的站長助手就是WEB木馬 海陽2006也是 WEB木馬)我們上傳漏洞最終傳的就是這個東西����,有時碰到權(quán)限設(shè)置不好的服務(wù)器可以通過WEBSHELL得到最高權(quán)限����。
提醒:
大多網(wǎng)站的程序都是在公有的程序基礎(chǔ)上修改的����,程序總會存在漏洞��。聰明的網(wǎng)站管理員應(yīng)該學(xué)會熟練的掌握以上工具�,時常關(guān)注自己web程序最新的漏洞���。并使用上述工具進行自我檢測����,以確保網(wǎng)站安全���。
2�、暴庫:
許多站點有這個漏洞可以利用�。非常危險!
漏洞解釋:
暴庫就是提交字符得到數(shù)據(jù)庫文件,得到了數(shù)據(jù)庫文件黑客就直接有了站點的前臺或者后臺的權(quán)限了.比如一個站的地址為 http: //www.XXX.com/dispbbs.asp?boardID=7&ID=161�,黑客就可以把com/dispbbs中間的/換成%5c,如果有漏洞直接得到數(shù)據(jù)庫的絕對路徑�����,用迅雷什么的下載下來就可以了。還有種方法就是利用默認的數(shù)據(jù)庫路徑http: //www.xxx.com/后面加上conn.asp��。如果沒有修改默認的數(shù)據(jù)庫路徑也可以得到數(shù)據(jù)庫的路徑(注意:這里的/也要換成%5c)���。
解疑:
為什么換成%5c:因為在ASCII碼里/等于%5c���,有時碰到數(shù)據(jù)庫名字為/#abc.mdb的為什么下不了? 這里需要把#號換成%23就可以下載了,為什么我暴出的數(shù)據(jù)庫文件是以�。ASP結(jié)尾的?我該怎么辦?這里可以在下載時把.ASP換成.MDB 這樣就可以下載了如果還下載不了可能作了防下載。
提醒:
數(shù)據(jù)庫始終是黑客最感興趣的東西�。數(shù)據(jù)庫安全性卻不是每個程序員在編程的時候能全面考慮到的。應(yīng)該在上線后�,找專業(yè)的安全公司進行測試數(shù)據(jù)庫滲透測試,以確保數(shù)據(jù)庫安全���。
3�����、注入漏洞:
這個漏洞是現(xiàn)在應(yīng)用最廣泛�,殺傷力也很大的漏洞�����,可以說微軟的官方網(wǎng)站也存在著注入漏洞。
漏洞解釋:
注入漏洞是因為字符過濾不嚴禁所造成的�,可以得到管理員的帳號密碼等相關(guān)資料。
解疑:
我先介紹下怎樣找漏洞比如這個網(wǎng)址http: //www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=數(shù)字形式結(jié)尾的站我們可以手動在后面加上個 and 1=1 看看 如果顯示正常頁面 再加上個and 1=2 來看看 如果返回正常頁面說明沒有漏洞 如果返回錯誤頁面說明存在注入漏洞���。如果加and 1=1 返回錯誤頁面說明也沒有漏洞��,知道了站點有沒有漏洞我門就可以利用了
工具介紹:
可以手工來猜解也可以用工具現(xiàn)在工具比較多(NBSI NDSI 啊D DOMAIN等)都可以用來猜解帳號密碼���,建議大家用工具�����,手工比較煩瑣��。
提醒:
大型公司的網(wǎng)站應(yīng)該找懂安全編程的高級程序員來進行�����,并且開發(fā)上線后����,應(yīng)該請專業(yè)公司進行安全性測試。以確保程序安全�����、可靠!
4、旁注:
我們?nèi)肭帜痴緯r可能這個站堅固的無懈可擊���,我們可以找下和這個站同一服務(wù)器的站點����,然后在利用這個站點用提權(quán)�,嗅探等方法來入侵我們要入侵的站點。打個形象的比喻�����,比如您和我是鄰居����,我家很安全,而您家呢��,卻很容易進去偷東西?,F(xiàn)在有個賊想入侵我家,他對我家做了探察����、踩點�,發(fā)現(xiàn)很難進入我家���,那么這個賊發(fā)現(xiàn)你家和我家是鄰居����,通過您家就可以很容易進如我家了���。他可以先進入你家�����,然后通過你家陽臺進入我家。
工具介紹:
還是名小子的DOMIAN3.5不錯的東西�,可以檢測注入,可以旁注�����,還可以上傳!
最后隨便AD一下我的小站www.i3ss.cn是一個專業(yè)的UUSEE資源站
在線咨詢
