어제 웹사이트 트래픽 통계를 살펴본 결과 최근 몇 달 동안 컴퓨터 네트워크 바이러스에 관한 사이트의 기사 방문 수가 여전히 높은 것으로 나타났습니다. 컴퓨터 네트워크 바이러스는 고객을 포함하여 많은 사람들에게 항상 우려 사항이었습니다. , 그리고 해커들 역시 많은 사용자들이 변태에 대해 이야기하고 있습니다. 얼마 전 다음과 같은 기사를 보았습니다. "현재 웹사이트 침입은 매우 단순해지고 있으며, 임계값은 점점 낮아지고 있습니다. 누구나 침입 도구를 다운로드할 수 있습니다. 해커 웹사이트, 즉 침입을 시작할 수 있습니다." 그런 다음 오늘은 웹사이트 침입에 대한 나의 이해에 대해 이야기하겠습니다!
현재 웹사이트의 대부분은 접미사가 .htm 또는 .html인 정적 웹사이트임을 알 수 있습니다. 그러나 php, jsp, asp와 같은 동적 웹사이트도 볼 수 있지만 그게 전부입니다. 침입의 대상이 되다! 왜냐하면 이러한 정적 웹사이트에 침입하려는 경우 해당 웹사이트가 위치한 서버를 직접 확보하지 않는 한 성공 확률은 매우 낮기 때문입니다. 그러나 이는 실제로 몇 가지 간단한 조치를 통해 웹사이트 침입 기술의 범위가 아닌 경우가 많습니다. , 초보 및 하급 해커를 대량으로 제거할 수 있으며, 이미 일반 기업 웹사이트에서는 비교적 안전합니다. 그런 다음 가장 일반적으로 사용되는 웹사이트 침입 기술에 대해 이야기하겠습니다.
인젝션 취약점: 우리가 가장 먼저 이야기하고 싶은 것은 등록 취약점입니다. 우리는 이 취약점이 가장 널리 사용되며 매우 치명적인 취약점이라는 것을 알고 있습니다. Microsoft 공식 웹사이트에도 인젝션 취약점이 있다고 할 수 있습니다.
인젝션 취약점이 발생하는 이유는 문자 필터링이 엄격하게 금지되지 않고, 관리자의 계정 비밀번호 및 기타 관련 정보를 얻을 수 있다는 점이다. 요즘에는 계정 비밀번호를 추측할 수 있는 도구가 많다.
업로드 취약점: 업로드 취약점을 이용하면 공통 취약점이기도 한 WEBSHELL을 직접 획득할 수 있다. 웹사이트 침입자는 URL 뒤에 /upfile.asp를 추가하며 다음과 같이 표시됩니다. 업로드 형식이 잘못되었습니다. [다시 업로드] 기본적으로 업로드할 수 있는 도구(DOMAIN3.5)를 찾으세요. WEBSHELL 직접, 그리고 WEBSHELL 사실은 그냥 WEB 권한인데, 다른 사람의 홈페이지를 수정하려면 이 권한이 필요합니다. 그러나 권한 설정이 좋지 않은 서버에 가면 WEBSHELL을 통해 가장 높은 권한을 얻을 수 있습니다.
데이터베이스 해킹(즉, 데이터베이스에 직접 다운로드하는 것) : 일부 초보자들이 인터넷에서 직접 무료 프로그램을 다운로드 받아 업로드하여 직접 사용하는 것을 보면 어렵지 않게 이런 웹사이트가 해킹의 주요 대상이 됩니다. ; 인터넷 속 속담을 사용하여, 즉 "문자를 교차하여 데이터베이스 파일을 얻을 수 있습니다. 데이터베이스 파일을 얻으면 사이트의 프런트엔드 또는 백엔드에 대한 권한을 직접 갖게 됩니다.";
제가 학창시절 선생님께서 데이터 보안을 위해 웹사이트가 온라인에 접속한 후 데이터베이스 침투 테스트를 해야 한다고 말씀하셨습니다. 그러나 저는 심천 웹사이트 구축 회사에 근무하면서 이를 위해서는 전문적인 지식이 필요하다는 것을 알게 되었습니다. 보안. 당신 자신이나 당신 주변에 그렇게 강력한 기술 인력이 있지 않는 한!
이런 프로그램을 인터넷에서 다운로드 받으려면 경로를 변경하는 것이 가장 좋고, 데이터베이스 파일은 asp로 끝나는데, 다운로드할 때 asp를 MDB로 바꿔서 그래도 다운로드가 안되는 경우가 있을 수 있습니다. !
사이드노트는 간단히 말해서 침입 목적을 곡선을 통해 달성하지만, DOMIAN3.5는 삽입, 사이드노트, 업로드 등의 침입을 탐지할 수 있으며, COOKIE 스푸핑은 실제로 쿠키(ID, md5) 시스템을 속이고 침입 목적을 달성하기 위해 관리자라고 생각하십시오!
[본 글은 원본이므로 심천 홈페이지 구축 http://www.eims.cc/ 를 전재할 경우 출처를 표기해 주시기 바랍니다.]
귀하의 기여에 대해 freegn에게 감사드립니다