對于很多開發人來講,我知道怎么做出產品來已經很不錯了,而用做出一個有著不錯用戶體驗的網站,對于一些web開發人來講,確實已經付出了很多,但一個好的網站,蘇州網站制作要提醒的是不但要有著不錯的界面,還需在在安全性做出一定的努力。有著安全的數據,才能更好的獲得用戶的青睞和肯定。
對于web開發人來講,網站安全性是必須課,防SQL注入。那么下邊這些安全知識,我們必須要了解,并嘗試著使用和做好預防。了解SQL注入(SQL injection)及其預防方法。永遠不要信任用戶提交的數據(cookie也是用戶端提交的!)。不要明文(plain-text)儲存用戶的密碼,要hash處理后再儲存。不要對你的用戶認證系統太自信,它可能很容易就被攻破,而你事先根本沒意識到存在相關漏洞。及其他處理敏感信息的頁面,使用SSL/HTTPS。知道如何對付session劫持(session hijacking)。避免"跨站點執行"(cross site scripting,XSS)。避免"跨域偽造請求"(cross site request forgeries,XSRF)。及時打上補丁,讓你的系統始終跟上最新版本。確認你的數據庫連接信息的安全性。下面了解一下常見的入侵方式:
1、SQL注入漏洞的入侵
這種是ASP+ACCESS的網站入侵方式,通過注入點列出數據庫里面管理員的帳號和密碼信息,然后猜解出網站的后臺地址,然后用帳號和密碼登錄進去找到文件上傳的地方,把ASP木馬上傳上去,獲得一個網站的WEBSHELL。這個是黑鏈使用的前一部分,應該比較常用吧。現在網上賣webshell的太多了。
2、ASP上傳漏洞的利用
這種技術方式是利用一些網站的ASP上傳功能來上傳ASP木馬的一種入侵方式,不少網站都限制了上傳文件的類型,一般來說ASP為后綴的文件都不允許上傳,但是這種限制是可以被黑客突破的,黑客可以采取COOKIE欺騙的方式來上傳ASP木馬,獲得網站的WEBSHELL權限。
3、后臺數據庫備份方式獲得WEBSHELL
這個主要是利用網站后臺對ACCESS數據庫進行數據庫備份和恢復的功能,備份數據庫路徑等變量沒有過濾導致可以把任何文件的后綴改成ASP,那么利用網站上傳的功能上傳一個文件名改成JPG或者GIF后綴的ASP木馬,然后用這個恢復庫備份和恢復的功能把這個木馬恢復成ASP文件,從而達到能夠獲取網站WEBSHELL控制權限的目的。
4、網站旁注入侵
這種技術是通過IP綁定域名查詢的功能查出服務器上有多少網站,然后通過一些薄弱的網站實施入侵,拿到權限之后轉而控制服務器的其它網站。
下面這幾種我就聽不懂了,不過有點高技術的站長會看懂的。
5、sa注入點利用的入侵技術
這種是ASP+MSSQL網站的入侵方式,找到有SA權限的SQL注入點,然后用SQL數據庫的XP_CMDSHELL的存儲擴展來運行系統命令建立系統級別的帳號,然后通過3389登錄進去,或者在一臺肉雞上用NC開設一個監聽端口,然后用VBS一句話木馬下載一個NC到服務器里面,接著運行NC的反向連接命令,讓服務器反向連接到遠程肉雞上,這樣遠程肉雞就有了一個遠程的系統管理員級別的控制權限。
6、sa弱密碼的入侵技術
這種方式是用掃描器探測SQL的帳號和密碼信息的方式拿到SA的密碼,然后用SQLEXEC之類的工具通過1433端口連接到遠程服務器上,然后開設系統帳號,通過3389登錄。然后這種入侵方式還可以配合WEBSHELL來使用,一般的ASP+MSSQL 網站通常會把MSSQL的連接密碼寫到一個配置文件當中,這個可以用WEBSHELL來讀取配置文件里面的SA密碼,然后可以上傳一個SQL木馬的方式來獲取系統的控制權限。
7、提交一句話木馬的入侵方式
這種技術方式是對一些數據庫地址被改成asp文件的網站來實施入侵的。黑客通過網站的留言版,論壇系統等功能提交一句話木馬到數據庫里面,然后在木馬客戶端里面輸入這個網站的數據庫地址并提交,就可以把一個ASP木馬寫入到網站里面,獲取網站的WEBSHELL權限。
8、論壇漏洞利用入侵方式
這種技術是利用一些論壇存在的安全漏洞來上傳ASP木馬獲得WEBSHELL權限,最典型的就是,動網6.0版本,7.0版本都存在安全漏洞,拿7.0版本來說,注冊一個正常的用戶,然后用抓包工具抓取用戶提交一個ASP文件的COOKIE,然后用明小子之類的軟件采取COOKIE欺騙的上傳方式就可以上傳一個ASP木馬,獲得網站的WEBSHELL。
所以說,為了保證網站安全性和穩定性,建網站一定要找專業的團隊,蘇州謝謝網絡專業制作網站,服務有保障。讓你放心、省心。
2017-12-25
關鍵詞:
5037
電話咨詢
業務咨詢
TOP