لقد ألقيت نظرة بالأمس على إحصائيات حركة المرور على موقع الويب ووجدت أنه في الأشهر الأخيرة، ظل عدد الزيارات إلى مقال على الموقع حول فيروسات شبكات الكمبيوتر مرتفعًا، وكانت فيروسات شبكات الكمبيوتر دائمًا مصدر قلق للعديد من الأشخاص، بما في ذلك عملائنا ، والمتسللين أيضًا يتحدثون عن كونهم منحرفين، منذ بعض الوقت، رأيت مقالًا يقول: "في الوقت الحالي، أصبح التطفل على موقع الويب أمرًا بسيطًا للغاية، والعتبة تنخفض أكثر فأكثر. يمكن لأي شخص فقط تنزيل أداة التطفل من موقع الهاكر، أي يمكن أن يبدأ بالتطفل"، فاليوم سأتحدث عن فهمي للتطفل على موقع الويب!
يمكننا أن نرى أن معظم مواقع الويب الحالية ثابتة، أي أن اللاحقة هي .htm أو .html، ومع ذلك، يمكن أيضًا رؤية مواقع الويب الديناميكية، مثل php وjsp وasp، ولكن هذا كل شيء تصبح هدفا للتسلل! لأنه إذا كنت ترغب في غزو تلك المواقع الثابتة، فإن احتمال النجاح منخفض جدًا ما لم تحصل مباشرة على الخادم الذي يوجد به موقع الويب، ولكن هذا ليس نطاق تكنولوجيا اختراق مواقع الويب في الواقع، في كثير من الأحيان، مع بعض التدابير البسيطة ، يمكنك القضاء على عدد كبير من المتسللين المبتدئين والمبتدئين، وهو بالفعل آمن نسبيًا لمواقع الويب العادية للشركات. ثم اسمحوا لي أن أتحدث عن تقنيات اختراق مواقع الويب الأكثر استخدامًا:
ثغرة الحقن: أول ما نريد التحدث عنه هو بالطبع ثغرة التسجيل، ونحن نعلم أن هذه الثغرة الأمنية هي الثغرة الأكثر استخدامًا والمميتة للغاية، ويمكن القول أن موقع Microsoft الرسمي به أيضًا ثغرة أمنية.
سبب ثغرة الحقن هو أن تصفية الأحرف ليست محظورة تمامًا، ويمكن الحصول على كلمة مرور حساب المسؤول والمعلومات الأخرى ذات الصلة في الوقت الحاضر، هناك العديد من الأدوات التي يمكن استخدامها لتخمين كلمات مرور الحساب.
ثغرة التحميل: باستخدام ثغرة التحميل، يمكنك الحصول مباشرة على WEBSHELL، وهي أيضًا ثغرة أمنية شائعة. سيضيف متطفلو مواقع الويب /upfile.asp بعد عنوان URL، والذي سيعرض: تنسيق التحميل غير صحيح [إعادة التحميل]. في الأساس، هناك ثغرة أمنية في التمرير الطويل. ابحث عن أداة يمكنها التحميل (DOMAIN3.5) للحصول عليها WEBSHELL مباشرة؛ وWEBSHELL في الواقع، هو مجرد إذن ويب، أنت بحاجة إلى هذا الإذن لتعديل الصفحات الرئيسية لأشخاص آخرين، ومع ذلك، إذا ذهبت إلى خادم بإعدادات أذونات سيئة، فيمكنك الحصول على أعلى إذن من خلال WEBSHELL.
اختراق قاعدة البيانات (أي التحميل المباشر إلى قاعدة البيانات): ليس من الصعب أن نرى أن بعض المبتدئين يقومون بتنزيل برنامج مجاني مباشرة من الإنترنت، ويقومون بتحميله واستخدامه مباشرة، وهذا النوع من المواقع هو الهدف الرئيسي للاختراق باستخدام القول المأثور على الإنترنت، "يمكنك الحصول على ملف قاعدة البيانات عن طريق عبور الحرف. بمجرد الحصول على ملف قاعدة البيانات، ستحصل مباشرة على أذونات الواجهة الأمامية أو الخلفية للموقع"؛
عندما كنت لا أزال في المدرسة، أخبرني المعلم أنه من أجل ضمان أمن البيانات، يجب على موقع الويب إجراء اختبار اختراق قاعدة البيانات بعد اتصاله بالإنترنت. ومع ذلك، منذ أن عملت في شركة إنشاء مواقع في شنتشن، تعلمت أن هذا يتطلب احترافية شركة أمنية! إلا إذا كنت أنت نفسك أو كان لديك مثل هذا الشخص التقني القوي من حولك!
إذا كنت ترغب في تنزيل مثل هذا البرنامج من الإنترنت، فمن الأفضل تغيير المسار، وينتهي ملف قاعدة البيانات بـ asp. عند التنزيل، استبدل asp بـ MDB. إذا كان لا يزال يتعذر تنزيله، فربما يكون هناك مانع للتنزيل !
أما بالنسبة للملاحظات الجانبية، فببساطة، يتم تحقيق غرض التطفل من خلال المنحنيات، ومع ذلك، يمكن لـ DOMIAN3.5 اكتشاف عمليات التطفل مثل الإدخال والملاحظات الجانبية والتحميلات. أما بالنسبة لانتحال ملفات تعريف الارتباط، فإنه يستخدم في الواقع أدوات لتعديل ملفات تعريف الارتباط. md5) لخداع النظام والاعتقاد بأنك مسؤول لتحقيق غرض التطفل!
[هذه المقالة أصلية، يرجى الإشارة إلى مصدر إعادة طبع إنشاء موقع Shenzhen الإلكتروني http://www.eims.cc/ ]
شكرا لfreegn لمساهمتك