昨天我看了一下網站流量統計,發現最近幾個月來,站內的一篇有關電腦網路病毒的訪問量居高不下;是電腦網路病毒,一直是很多人關心的,包括我們客戶,而駭客也是很多用戶談及色變的,前段時間,我有看到一篇文章說到:「目前,網站入侵已經變得非常簡單,門檻越來越低,隨便哪個只要在黑客網站上下載入侵工具,即可開始入侵”,那今天我就來講講,我對網站入侵的認識!
我們可以看到,現在的網站幾乎都是靜態的,也就是後綴名為.htm 或.html ,不過動態的網站也是可以見到的,如php、jsp、asp 這種形式的,但就是這樣的動態網站變成入侵的對象了!因為如果要入侵那些靜態網站,成功機率很低,除非直接搞定了這個網站所在的伺服器,但這就不是網站入侵技術範疇了;其實很多時候,只要一些簡單的措施,就可以杜絕一大批入門級和初級駭客的,並且對於普通的企業網站來說,已經比較安全了。那下面我就講講,最常用網站入侵技術:
注入漏洞:首先我們要說的當然就是註冊漏洞了,我們知道這個漏洞是現在應用最廣泛,殺傷力也很大的漏洞,可以說微軟的官方網站也存在著注入漏洞。
造成注入漏洞的原因是因為字元過濾不嚴禁,可以得到管理員的帳號密碼等相關資料,現在有很多工具可以用來猜解帳號密碼。
上傳漏洞:利用上傳漏洞可以直接得到WEBSHELL,這也是常見的漏洞。網站入侵者會在網址後加上/upfile.asp,顯示:上傳格式不正確[重新上傳] ,基本上就存在長傳漏洞,找個可以上傳的工具(DOMAIN3.5)直接可以得到WEBSHELL;而WEBSHELL其實只是個WEB的權限,修改別人首頁都需要這個權限,不過到權限設定不好的伺服器,透過WEBSHELL是可以得到最高權限的。
暴庫(也就是直接下載到資料庫):我們不難看到,一些新手從網上直接下載一個免費的程序,上傳上去就直接用了,而這種站是被黑的主要對象了;運用網上的說法就是「交字符得到資料庫文件,得到了資料庫文件,就直接有了站點的前台或後台的權限」;
還在學校的時候,老師千叮嚀萬囑咐,要想確保資料安全,網站在上線後,應該進行測試資料庫滲透測試,不過據我在深圳網站建設公司工作以來,了解到,這要找專業的安全公司!除非你自己或身邊有這樣的技術強人!
如果你要在網路上下載這樣的程式來用的話,最好是要把路徑改一下,並且資料庫檔案是以asp結尾的,就在下載時,把asp 換成MDB,如果還不能下載的話,就是有可能做了防下載!
至於旁注,簡單的講就是透過曲線達到入侵的目的,不過DOMIAN3.5可以偵測注入、旁注、上傳等入侵;而COOKIE欺騙的話,其實是利用工具修改cookie (ID 、md5),欺騙系統認為是管理員,從而達到入侵的目的!
【本文原創,轉載請註明出處深圳網站建置http://www.eims.cc/ 】
感謝freegn 的投稿