Kemarin saya melihat statistik lalu lintas situs web dan menemukan bahwa dalam beberapa bulan terakhir, jumlah kunjungan ke artikel di situs tentang virus jaringan komputer tetap tinggi. Virus jaringan komputer selalu menjadi perhatian banyak orang, termasuk pelanggan kami , dan juga peretas. Banyak pengguna berbicara tentang sesat. Beberapa waktu lalu, saya melihat artikel yang mengatakan: "Saat ini, intrusi situs web menjadi sangat sederhana, dan ambang batasnya semakin rendah. Siapa pun dapat mengunduh alat intrusi darinya. situs web peretas, yaitu, Dapat memulai intrusi", maka hari ini saya akan berbicara tentang pemahaman saya tentang intrusi situs web!
Kita dapat melihat bahwa sebagian besar website saat ini bersifat statis yaitu akhiran .htm atau .html, namun ada juga website dinamis seperti php, jsp, asp, tapi itu saja menjadi target intrusi! Karena jika Anda ingin menyerang situs web statis tersebut, kemungkinan keberhasilannya sangat rendah kecuali Anda langsung mendapatkan server tempat situs web tersebut berada, tetapi ini bukan cakupan teknologi intrusi situs web, berkali-kali, dengan beberapa tindakan sederhana , Anda dapat menghilangkan sejumlah besar peretas tingkat pemula dan junior, dan sudah relatif aman untuk situs web perusahaan biasa. Lalu izinkan saya berbicara tentang teknik intrusi situs web yang paling umum digunakan:
Kerentanan injeksi: Hal pertama yang ingin kita bahas tentu saja adalah kerentanan registrasi. Kita tahu bahwa kerentanan ini adalah kerentanan yang paling banyak digunakan dan sangat mematikan. Dapat dikatakan bahwa situs resmi Microsoft juga memiliki kerentanan injeksi.
Alasan kerentanan injeksi adalah karena pemfilteran karakter tidak dilarang, dan kata sandi akun administrator serta informasi terkait lainnya dapat diperoleh. Saat ini, ada banyak alat yang dapat digunakan untuk menebak kata sandi akun.
Kerentanan unggahan: Dengan menggunakan kerentanan unggahan, Anda dapat langsung mendapatkan WEBSHELL, yang juga merupakan kerentanan umum. Penyusup situs web akan menambahkan /upfile.asp setelah URL, yang akan menampilkan: Format unggahan salah [unggah ulang]. Pada dasarnya, ada kerentanan jangka panjang Temukan alat yang dapat diunggah (DOMAIN3.5) untuk mendapatkannya WEBSHELL secara langsung; dan WEBSHELL Sebenarnya, ini hanyalah izin WEB. Anda memerlukan izin ini untuk mengubah beranda orang lain. Namun, jika Anda membuka server dengan pengaturan izin yang buruk, Anda bisa mendapatkan izin tertinggi melalui WEBSHELL.
Peretasan basis data (yaitu, pengunduhan langsung ke basis data): Tidak sulit untuk melihat bahwa beberapa pemula mengunduh program gratis langsung dari Internet, mengunggahnya dan menggunakannya secara langsung, dan situs web semacam ini adalah target utama peretasan ; menggunakan pepatah di Internet Yaitu, "Anda bisa mendapatkan file database dengan menyilangkan karakter. Setelah Anda mendapatkan file database, Anda akan langsung memiliki izin dari front-end atau back-end situs";
Ketika saya masih di sekolah, guru memberi tahu saya bahwa untuk memastikan keamanan data, situs web harus melakukan tes penetrasi basis data setelah online. Namun, sejak saya bekerja di perusahaan konstruksi situs web Shenzhen, saya mengetahui bahwa ini memerlukan profesional keamanan.perusahaan! Kecuali Anda sendiri atau memiliki orang teknis yang kuat di sekitar Anda!
Jika Anda ingin mendownload program seperti itu dari Internet, yang terbaik adalah mengubah jalurnya, dan file database diakhiri dengan asp. Saat mendownload, ganti asp dengan MDB !
Adapun catatan tambahan, sederhananya, tujuan intrusi dicapai melalui kurva. Namun, DOMIAN3.5 dapat mendeteksi intrusi seperti injeksi, catatan samping, dan unggahan. Sedangkan untuk spoofing COOKIE, sebenarnya menggunakan alat untuk memodifikasi cookie (ID, md5) untuk menipu sistem. Pikirkan bahwa Anda adalah seorang administrator, untuk mencapai tujuan intrusi!
[Artikel ini asli, harap tunjukkan sumber untuk mencetak ulang konstruksi situs web Shenzhen http://www.eims.cc/ ]
Terima kasih kepada freegn atas kontribusi Anda