压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　如何知道您的網(wǎng)站有沒有漏洞呢？近來很多網(wǎng)站受到了各種各樣形式的攻擊，黑客攻擊的動(dòng)機(jī)各不一樣，黑客人攻擊的目標(biāo)也有不確定性，作為一家企業(yè)的網(wǎng)管、或CEO您是否擔(dān)心您的網(wǎng)站也遭受同樣的命運(yùn)呢？

　　什么樣的站點(diǎn)容易被黑客入侵呢？

　　有人說，我做人低調(diào)點(diǎn)，不得罪人，自然沒人黑我了。其實(shí)，就算你沒有競(jìng)爭(zhēng)對(duì)手雇傭人黑你，也會(huì)有好奇的或者練習(xí)技術(shù)的無聊黑客想入侵您的站一探究竟的。

　　所以，什么樣的站容易被黑客入侵。不是壞人的站，而是有漏洞的網(wǎng)站。

　　不論您的站是動(dòng)態(tài)的網(wǎng)站，比如asp、php、jsp 這種形式的站點(diǎn)，還是靜態(tài)的站點(diǎn)，都存在被入侵的可能性。

　　您的網(wǎng)站有漏洞嗎？如何知道您的網(wǎng)站有沒有漏洞呢？

　　普通的黑客主要通過上傳漏洞、暴庫、注入、旁注等幾種方式入侵近7成網(wǎng)站的。當(dāng)然，還有更高級(jí)別的入侵行為，有些黑客為尋找一個(gè)入侵點(diǎn)而跟進(jìn)一個(gè)網(wǎng)站好幾個(gè)月的事兒都有。我們先重點(diǎn)看看這些容易被黑的網(wǎng)站。

　　1、上傳漏洞

　　這個(gè)漏洞在DVBBS6.0時(shí)代被黑客們利用的最為猖獗，利用上傳漏洞可以直接得到WEBSHELL，危害等級(jí)超級(jí)高，現(xiàn)在的入侵中上傳漏洞也是常見的漏洞。

　　漏洞解釋：

　　在網(wǎng)站的地址欄中網(wǎng)址后加上/upfile.asp如果顯示 上傳格式不正確[重新上傳] 這樣的字樣8成就是有上傳漏洞了找個(gè)可以上傳的工具直接可以得到WEBSHELL。

　　工具介紹：

　　上傳工具，老兵的上傳工具、DOMAIN3.5，這兩個(gè)軟件都可以達(dá)到上傳的目的，用NC也可以提交。

　　專家解疑：

　　WEBSHELL是什么？許多人都不理解，這里就簡(jiǎn)單講下，其實(shí)WEBSHELL并不什么深?yuàn)W的東西，是個(gè)WEB的權(quán)限，可以管理WEB，修改主頁內(nèi)容等權(quán)限，但是并沒有什么特別高的權(quán)限，(這個(gè)看管理員的設(shè)置了)一般修改別人主頁大多都需要這個(gè)權(quán)限，接觸過WEB木馬的朋友可能知道(比如老兵的站長(zhǎng)助手就是WEB木馬 海陽2006也是 WEB木馬)我們上傳漏洞最終傳的就是這個(gè)東西，有時(shí)碰到權(quán)限設(shè)置不好的服務(wù)器可以通過WEBSHELL得到最高權(quán)限。

　　專家提醒：

　　大多網(wǎng)站的程序都是在公有的程序基礎(chǔ)上修改的，程序總會(huì)存在漏洞。聰明的網(wǎng)站管理員應(yīng)該學(xué)會(huì)熟練的掌握以上工具，時(shí)常關(guān)注自己web程序最新的漏洞。并使用上述工具進(jìn)行自我檢測(cè)，以確保網(wǎng)站安全。

　　2、暴庫：

　　許多站點(diǎn)有這個(gè)漏洞可以利用。非常危險(xiǎn)！

　　暴庫就是提交字符得到數(shù)據(jù)庫文件，得到了數(shù)據(jù)庫文件黑客就直接有了站點(diǎn)的前臺(tái)或者后臺(tái)的權(quán)限了.比如一個(gè)站的地址為 http： //www.myhack58.com/dispbbs.asp？boardID=7&ID=161，黑客就可以把com/dispbbs中間的/換成%5c，如果有漏洞直接得到數(shù)據(jù)庫的絕對(duì)路徑，用迅雷什么的下載下來就可以了。還有種方法就是利用默認(rèn)的數(shù)據(jù)庫路徑http： //www.myhack58.com/后面加上conn.asp。如果沒有修改默認(rèn)的數(shù)據(jù)庫路徑也可以得到數(shù)據(jù)庫的路徑(注意：這里的/也要換成%5c)。

　　專家解疑：

　　為什么換成%5c：因?yàn)樵贏SCII碼里/等于%5c，有時(shí)碰到數(shù)據(jù)庫名字為/#abc.mdb的為什么下不了？ 這里需要把#號(hào)換成%23就可以下載了，為什么我暴出的數(shù)據(jù)庫文件是以。ASP結(jié)尾的？我該怎么辦？這里可以在下載時(shí)把.ASP換成.MDB 這樣就可以下載了如果還下載不了可能作了防下載。

　　專家提醒：

　　數(shù)據(jù)庫始終是黑客最感興趣的東西。數(shù)據(jù)庫安全性卻不是每個(gè)程序員在編程的時(shí)候能全面考慮到的。應(yīng)該在上線后，找專業(yè)的安全公司進(jìn)行測(cè)試數(shù)據(jù)庫滲透測(cè)試，以確保數(shù)據(jù)庫安全。

　　3、注入漏洞：

　　這個(gè)漏洞是現(xiàn)在應(yīng)用最廣泛，殺傷力也很大的漏洞，可以說微軟的官方網(wǎng)站也存在著注入漏洞。

　　漏洞解釋：

　　注入漏洞是因?yàn)樽址^濾不嚴(yán)禁所造成的，可以得到管理員的帳號(hào)密碼等相關(guān)資料。

　　專家解疑：

　　我先介紹下怎樣找漏洞比如這個(gè)網(wǎng)址http： //www.xxx.com/dispbbs.asp？boardID=7&ID=161 后面是以ID=數(shù)字形式結(jié)尾的站我們可以手動(dòng)在后面加上個(gè) and 1=1 看看 如果顯示正常頁面 再加上個(gè)and 1=2 來看看 如果返回正常頁面說明沒有漏洞 如果返回錯(cuò)誤頁面說明存在注入漏洞。如果加and 1=1 返回錯(cuò)誤頁面說明也沒有漏洞，知道了站點(diǎn)有沒有漏洞我門就可以利用了

　　工具介紹：

　　可以手工來猜解也可以用工具現(xiàn)在工具比較多(NBSI NDSI 啊D DOMAIN等)都可以用來猜解帳號(hào)密碼，建議大家用工具，手工比較煩瑣。專家提醒：大型公司的網(wǎng)站應(yīng)該找懂安全編程的高級(jí)程序員來進(jìn)行，并且開發(fā)上線后，應(yīng)該請(qǐng)專業(yè)公司進(jìn)行安全性測(cè)試。以確保程序安全、可靠！

　　4、旁注：

　　我們?nèi)肭帜痴緯r(shí)可能這個(gè)站堅(jiān)固的無懈可擊，我們可以找下和這個(gè)站同一服務(wù)器的站點(diǎn)，然后在利用這個(gè)站點(diǎn)用提權(quán)，嗅探等方法來入侵我們要入侵的站點(diǎn)。打個(gè)形象的比喻，比如您和我是鄰居，我家很安全，而您家呢，卻很容易進(jìn)去偷東西?，F(xiàn)在有個(gè)賊想入侵我家，他對(duì)我家做了探察、踩點(diǎn)，發(fā)現(xiàn)很難進(jìn)入我家，那么這個(gè)賊發(fā)現(xiàn)你家和我家是鄰居，通過您家就可以很容易進(jìn)如我家了。他可以先進(jìn)入你家，然后通過你家陽臺(tái)進(jìn)入我家。