当前位置:首页 > 企业官网建设

从一个网站的入侵思路来设置网站防火墙

2019-12-29

有的网站首先要看的是他的网站类型,只要观察网站类型,能更好的应对就能找到正确的方案。

哪个站点可以入侵:我认为它必须是动态站点,如ASP、PHP和JSP

如果点是静态(.htm或html ),通常不会成功。

如果试图入侵的目标站点是动态的,则可以利用动态站点的脆弱性进行入侵。


以下是入侵网站的常见方法

1 .脆弱性上传

如果显示“请选择要上传的文件”或“请登录后使用”,80%会出现孔

上传可能不一定成功。 因为饼干不一样。 在WSockExpert中获取cookie。 重复使用

DOMAIN上传

2 .打洞

由于文字过滤不严格

3 .暴库:将次要目录中间的/更换为%5c

4.'or'='or '这是可以连接到SQL的语句。 你可以直接进入后台。

我收集了。 有类似的东西

or''= '

" or "a"="a

' ) or ('a'='a )

" or ("a"="a )

or 1=1--

' or 'a'='a

以上的几个是通常的手段,即在网上的攻击,也有收集信息类的攻击手段。 我不详细写。 是我们的社会工程。 但是,收集情报等工作很辛苦呢


5 .写入ASP格式数据库。 特洛伊木马上的“< 〈%execute request("value")%〉 >”(数据库必须是ASP或ASA的后缀)

6 .源代码的利用:一部分网站使用的是通过互联网下载的源代码。 站长懒散,什么也改变不了

例如,默认数据库、默认背景地址和默认管理员帐户密码

7 .使用默认数据库/WEBSHELL路径:这样的网站是很多人使用的webshell。

/Databackup/dvbbs7.MDB

/bbs/Databackup/dvbbs7.MDB

/bbs/Data/dvbbs7.MDB

/data/dvbbs7.mdb

/bbs/diy.asp

/diy.asp

/bbs/cmd.asp

/bbs/cmd.exe

/bbs/s-u.exe

/bbs/servu.exe

工具:网站猎人挖鸡明子

8 .查看目录的方式:有些网站可以断开目录的连接或访问目录。

210.37.95.65图像

9 .使用搜索引擎:

inurl:flasher_list.asp

默认数据库: database/flash.mdb

后台/manager/

查找网站的管理后台地址

site:xxxx.comintext :管理

site:xxxx.comintitle :管理〈关键字多,自己寻找〉

site:xxxx.cominurl:login

查找access数据库、mssql和mysql连接文件

alliinurl:bbsdata

文件类型: MDB inurl :数据库

filetype:incconn

inurl :数据文件类型: MDB

10.COOKIE诈骗:可以将自己的身份修改为管理员,也可以将MD5密码修改为他,使用桂林老手工具修改

COOKIE。

11 .利用常见脆弱性:例如视频公告栏

首先,您可以使用dvbbs权限增强工具使您成为前台管理员。

THEN,运用:使用网络固定粘贴工具,找到固定粘贴,取得cookie。 这个请自己做。 我们可以用

WSockExpert获取Cookies/NC包

这个我不做,在线教程多的是自己看下一个。

工具: dvbbs权限提升工具移动网固定粘贴工具

12 .有个老洞。 如果你看IIS 3,4,4的源代码,

五个Delete CGI,PHP老洞,我不说。 的双曲馀弦值。 年纪太大了。 没什么大用处。

现在再介绍一个简单的情节入侵,情节入侵也是一种使用头脑的骚扰


简单的脚本攻击

这样的攻击是因为WEB程序制作上的特殊字符的过滤不严密,所以不能说服务器的安全性很低

虽然造成了严重威胁,但可以让入侵者分发包含HTML语句的恶意代码,扰乱站点秩序,访问站点

产生不良影响。 以在某个网站进行用户注册时,没有过滤特殊字符为例

有可能被无聊者利用,如果论坛的管理者ID为“webmaster”,则有可能在注册用户名时进行注册

成为web主页后,尽管ID有差异,但在页面上显示的内容相同,无聊的人变更其他信息时

和webmaster一样,很难区分这两个ID中哪一个是真的还是假的。 很多网站都是自己开发的

支持留言板和HTML消息的提交,破坏者可以写自动弹出窗口或打电话

如果打开带木马的网页代码,其他人可能会看到此消息并种植木马。 防盗方法很简单

添加过滤函数后,可以执行以下操作

" "。

函数SQL检查( fstring )

fString = Replace(fString,'"," )

fString = Replace(fString,"," )

fString = Replace(fString,; "、""

fString = Replace(fString,--," )

fString = Replace(fString,","")

fString = Replace(fString,("," )

fString = Replace(fString,)",""

fString = Replace(fString,= "," )

fString = Replace(fString,% "," )

fString = Replace(fString,* "," )

fString = Replace(fString,"," )

SqlCheck = fString

结束函数

%‘

上述过滤函数的String = Replace(fString,","")删除语句中的""符号,以防止执行HTML代码。

免费获取报价

  • 29923329

  • 杭州市丰庆路498号北软智慧科创大厦203

  • 0571-85815193

  • pady@1t2.cn

网站地图 版权所有 © 2008-2021 杭州派迪科技有限公司  Copyright © 2008-2020  www.hzpady.com  All Rights Reserved    浙ICP备14029905号-1     公安备案:33010802008411    软著登字第3457658号