给肉鸡致命打击的攻击办法[网络技术]

目前,网站入侵已变得很简单,门坎已越来越低,随便哪个菜鸟只要在黑客网站上下载入侵工具便可开始入侵,作为我们网站开辟人员来说真的是导致的打击,所以我们有必要理解一下到底有哪些入侵办法,入侵的原理是什么,从根本上根绝开辟出来的网站免遭入侵.目前常用的网站入侵办法有五种:上传漏洞、暴库、注入、旁注、COOKIE欺骗.简单介绍以下:

    1、上传漏洞,这个漏洞在DVBBS6.0时代被黑客们操纵的最为猖狂,操纵上传漏洞可以直接得到WEBSHELL,危害等级超级高,目前的入侵中上传漏洞也是常见的漏洞.

    怎样操纵:在网站的地址栏中网址后加上/upfile.asp假如显示 上传格局不精确[重新上传] 这样的字样8成就是有长传漏洞了找个可以上传的工具直接可以得到WEBSHELL.

    工具介绍:上传工具 老兵的上传工具 DOMAIN3.5 这两个软件都可以到达上传的目的 用NC也可以提交.

    WEBSHELL是什么:WEBSHELL就是 WEB的权限,可以管理WEB,改正主页内容等权限,但是并没有什么分外高的权限,（这个把守理员的设置了）普通改正别人主页大多都需求这个权限,接触过 WEB木马的朋友大概知道（比方老兵的站长助手就是WEB木马 海阳2006也是 WEB木马）我们上传漏洞终究传的就是这个东西,有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限.

    2、暴库:这个漏洞目前很少见了,但是还有很多站点有这个漏洞可以操纵,暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台大概后台的权限了.

    暴库办法:比方一个站的地址为 http://www.**.com/dispbbs.asp?boardID=7&ID=161 我门便可以把com/dispbbs中间的/换成%5c 假若有漏洞直接得到数据库的绝对途径 用寻雷什么的下载下来便可以了还有种办法就是操纵默许的数据库途径 http://www.**.com/ 背面加上 conn.asp 假如没有改正默许的数据库途径也可以得到数据库的途径（注意:这里的/也要换成%5c）

    为什么换成%5c:因为在ASCII码里/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了?这里需求把#号换成%23便可以下载了,为什么我暴出的数据库文件是以.ASP末尾的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样便可以下载了假如还下载不了大概作了防下载.

    3、注入漏洞:这个漏洞是目前利用最遍及,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞.注入漏洞是因为字符过滤不严禁所造成的,可以得到管理员的帐号密码等相关资料.

    怎样操纵:我先介绍下怎样找漏洞比方这个网址 http://www.**.com/dispbbs.asp?boardID=7&ID=161 背面是以ID=数字情势末尾的站我们可以手动在背面加上个 and 1=1 看看 假如显示正常页面 再加上个and 1=2 来看看假如返回正常页面阐明没有漏洞

[1] [2]  下一页