举例说明⼀下常见的弱⼝令_常见⽹站⼊侵⼿段及防御⽅法上传⼊侵
上传⼊侵便是通过上传⽂件来获得权限,针对有上传⽂件权限的⽹站实施,好⽐论坛可以上传附件、资讯站可以投稿上传图⽚,这些都可能为上传⽊马提供便利,上传⽊马以后,很多信息都会轻松暴露出来的。这个漏洞在⽹站源码中⽐较常见,被⿊客们利⽤的最为猖獗,利⽤上传漏洞可以直接得到WEBSHELL,危害等级超级⾼。
防御⽅法:
第三⽅开源代码要及时升级官⽅提供的程序补丁;注意对上传的⽂件进⾏限制,例如限制⽂件类型、⽂件尺⼨等,同时要对上传⽂件以后存储的⽂件夹进⾏权限限制,好⽐图⽚存储的⽂件夹没必要保留脚本执⾏权限,去掉脚本执⾏权限及⽂件解压权限等。
暴库,也就是直接下载到数据库
暴库主要是针对使⽤微软Access数据库的⽹站。很多⼊门菜鸟直接从⽹上下⼀个免费的程序源码上传上去就⽤了,⿊客可以轻⽽易举的下载的数据库,因为数据库地址完全就是默认路径。暴库就是提交字符得到数据库⽂件,得到了数据库⽂件我们就直接有了站点的前台或者后台的权限了。
暴库⽅法:
⽐如⼀个站的地址为/dispbbs.asp?boardID=7&ID=161,我门就可以把com/dispbbs中间的/换成%5c 如果有漏洞直接得到数据库的绝对路径 ⽤迅雷什么的下载下来就可以了,还有种⽅法就是利⽤默认的数据库路径 / 后⾯加上conn.asp,如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这⾥的/也要换成%5c)为什么换成%5c:因为在ASCII码⾥/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了? 这⾥需要把#号换成%23就可以下载了。如果暴出的数据库⽂件是以.ASP结尾的,这⾥可以在下载时把.ASP换成.MDB,这样就可以下载了。如果还下载不了,可能是⽹站做了防下载。
防御⽅法:
修改默认数据库路径;做.mdb的防下载处理;不要在页⾯直接显⽰错误信息。
SQL注⼊漏洞
吉克隽逸 走光这个漏洞是现在应⽤最⼴泛,杀伤⼒也很⼤的漏洞,可以说微软的官⽅⽹站也存在着注⼊漏洞。注⼊漏洞是因为字符过滤不严禁所造成的,可以得到管理员的帐号密码等。⽐如这个⽹址 /dispbbs.asp?boardID=7&ID=161 后⾯是以ID=数字形式结尾的⽹站,我们可以⼿动在后⾯加上个and 1=1看看,如果显⽰正常页⾯,再加上个and 1=2看看,如果返回正常页⾯说明没有漏洞 如果返回错误页⾯说明存在注⼊漏洞。如果加and 1=1 返回错误页⾯说明也没有漏洞,知道了站点有没有漏洞我门就可以利⽤了。
防御⽅法:
不要使⽤动态拼装的SQL语句,推荐使⽤参数化SQL语句;对接收的参数进⾏字符串长度验证;对单引号和双"-"、下划线、百分号等sql注释符号进⾏转义
XSS/CSRF跨站攻击
Xss(Cross Site Scripting 跨站脚本攻击)/CSRF(Cross-site request forgery 跨站请求伪造),它与著名的SQL注⼊攻击类似,都是利⽤了Web页⾯的编写不完善。SQL注⼊攻击中以SQL语句作为⽤户输⼊,从⽽达到查询/修改/删除数据的⽬的,⽽在Xss攻击中,通过插⼊恶意脚本,实现对⽤户游览器的烟草税
控制,它允许恶意web⽤户将代码植⼊到提供给其它⽤户使⽤的页⾯中,这些代码包括HTML代码和客户端脚本,然后引导其他⽤户点击某链接或浏览页⾯,将kie等信息传到指定服务器,然后攻击者就可以模拟该⽤户正常登录⽹站,窃取⽤户信息或敏感资料。
防御⽅法:
出师表原文对cookie信息进⾏加密;尽量使⽤cookie的HttpOnly属性;对接收的⽤户输⼊进⾏长度验证;对接收的⽤户输⼊进⾏HTML转码COOKIE欺骗
COOKIE是你上⽹时由⽹站所为你发送的值记录了你的⼀些资料,⽐如IP,姓名什么的,⼏乎所有的⽹站都在使⽤cookie。
三伏天从什么时候开始至结束三伏那么怎样通过cookie欺骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了 但是破解不出来密码 (MD5是加密后的⼀个16位的密码),我们就可以⽤COOKIE来实现,把⾃⼰的ID修改成管理员的,MD5密码也修改成他的,有⼯具可以修改COOKIE,这样就答到了COOKIE的⽬的,系统以为你就是管理员了。
防御⽅法:
对COOKIE进⾏加密。
程序漏洞
⽹站程序漏洞便是指程序代码⾃⾝的漏洞,好⽐你⽤dedecms没修改后台地址及admin账号,或者没有升级dedecms的补丁;或者⽤了破解的程序,这些程序⾃⾝的漏洞很致命,利⽤者知道漏洞后去搜索引擎查⼀下,轻松到数以百计的漏洞⽹站。
防御⽅法:
尽量少⽤破解的程序源码,使⽤知名CMS时要注意官⽅介绍的安全配置,建议抹去⽹站内核程序信息;另外,做资讯站建议关闭会员中⼼,做论坛建议严格限制附件格式,同时要注意及时升级补丁,别建个站⼗天半个⽉都不去看⼀下。
爆破⼊侵
什么叫白皮书爆破便是暴⼒破解,现在互联⽹上有很多程序在扫描破解FTP、服务器登录地址等,如果你⽤的弱⼝令,好⽐服务器root账号6位密码,那么很容易被暴⼒破解;这种⼊侵⽅式很傻,不过很有效,总有⼈不喜欢太复杂的密码。杨幂疑似怀双胞胎
防御⽅法:
设置长度不低于18位的密码,建议英⽂字母⼤⼩写及数字、符号组合;保证你的账号密码和别的地⽅的账号密码不同,避免别⼈通过字典匹配成功。⾄于后台地址及端⼝号什么的,不⾛寻常路,复杂意味着安全。
旁注⼊侵
⼊侵某站时可能这个站坚固的⽆懈可击,⽹站程序很安全,安全配置很专业。这时,我们可以和这个站同⼀服务器的站点,然后在利⽤这个站点⽤提权,嗅探等⽅法来⼊侵我们要⼊侵的站点。打个形象的⽐喻, ⽐如你和我⼀个楼 我家很安全,⽽你家呢 却漏洞百出 现在有个贼想⼊侵我家 他对我家做了监视(也就是扫描)发现没有什么可以利⽤的东西 那么这个贼发现你家和我家⼀个楼 你家很容易就进去了 他可以先进⼊你家 然后通过你家得到整个楼的钥匙(系统权限) 这样就⾃然得到我的钥匙了 就可以进⼊我的家(⽹站)
防御⽅法:
这种情况经常发⽣在虚拟主机中,其中⼀个⽹站中毒,如果服务器安全配置不好,很可能被取得服务器权限,从⽽对所有的⽹站下⼿。如果经济条件允许,建议选择VPS或者云主机,安全性可以提升不⽌⼀个档次。
发布评论