随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。
网站渗透分手动和软件自动测试两种,一般两种方式结合都能或多或少的发现网站的一些漏洞或者设计缺陷等等。下面谈谈我个人一般的入侵渗透思路和常用的软件手法等等。
一:手动测试
1.了解网站的开发语言,系统环境。
一般接到一个网站入侵渗透测试的任务,我都是先手动简单测试一下,了解一下网站的开发语言,系统环境和一些简单的信息.比如网站的是哪种系统,是否使用一些整站程序。判断网站的系统环境我一般是使用ping命令根据TTL值判断。或者用同站长工具看看同服务器网站的一些情况。基本就能判断网站是windows server 2003系统还是linux系统。
判断一个网站是否使用整站程序可以根据一些独有的链接来了解,比如网站注册页面,登陆页面,还有链接形式。不同的整站程序一般在这几个方面都有差别。比如dedecms的注册页面和登陆页面就比较容易辨认;shopex的伪静态链接也很容易识别,还有discuz的论坛首页调用也比较容易判断。如果确定了网站采用了何种整站程序,那就可以用一些现有的整站程序漏洞来测试。
2.手动判断网站是否存在一些常见的SQL注入、跨站漏洞。
Sql注入漏洞可以在一些使用到查询的链接处测试,比如产品页,新闻页等等。因为要调用具体的新闻或者产品ID,所以会涉及到SQL查询语句。然后就有可能在一些参数的过滤上做的不是很规范,可以用and,or等来测试判断是否存在SQL注入.
跨站漏洞的形成也是因为参数过滤不严谨,导致可以提交一些敏感的“javascript”、“<script>”、“#”、“&”等字符。
防范建议:SQL注入和跨站漏洞的防范需要程序员在写程序的时候,在一些参数调用上使用严格的规范,不要因为省事而使用SQL语句拼接等.
二:软件自动测试
用WWWScan扫描网站的一些敏感目录,看看是否存在编辑器漏洞,默认的数据库路径,同时也了解一下网站使用的时apache,,IIS,nginx等等。编辑器漏洞可以使用已有的一些利用方法,上传网马结合IIS和Apache,Nginx的解析漏洞来完成入侵。
防范建议:ewebeditor删除默认的数据库,或者修改数据库后缀。删除默认的后台登陆页面。Fckeditor删除test.html文件,修改程序禁止建立类似xx.asp这样的文件夹。在IIS上设置一些上传文件所在目录的解析类型,禁止解析.jpg文件等。
用软件WebCruise扫描网站,来查看网站是否存在注入漏洞,跨站漏洞等等。防范建议以上已经列出。
用X-Scan等扫描系统打开的一些端口,比如135,139,445,1433,3306等等。根据不同的端口可以更加具体的测试是否有弱口令等等。
防范建议:配置好系统IPsec安全策略,设置禁止某端口外部IP到本机的通信,做好防火墙规则。1433,3306等注意默认账号的口令安全设置,不要使用弱口令。同时本地安全策略做好通信加密设置,防止嗅探到一些敏感的账号密码。
用御剑等软件查询同服务器网站,然后旁站入侵。
以上是常用的一些思路和入侵手法,其实个人感觉一些网站的漏洞等等都是因为管理人员的安全意识缺乏所造成的,所以最主要的是管理人员有很好的安全意识和危机意识。只有具备了不错的安全意识才能很好的做好网站的安全工作。也才会注重网站服务器的安全。
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。
推荐资讯 总人气榜
最新教程 本月人气
相关文章
相关软件
2345安全卫士最新官方版
2345安全卫士官方版 | 45.34MB
2345安全卫士是集电脑体检、木马查杀、垃圾清理、修复系统漏洞、系统加速、软件管理等功能为一体的电脑安全管理的软件.提供全方位检测,用户可以通过检测结果快速了解自己的电脑并且对电脑进行优化..
360杀毒软件官方正式版
360杀毒软件官方正式版 | 35.10MB
360杀毒具有查杀率高、资源占用少、升级迅速等优点。零广告、零打扰、零胁迫,一键扫描,快速、全面地诊断系统安全状况和健康程度,并进行精准修复,带来安全、专业、有效、新颖的查杀防护体验...
360安全卫士最新版下载
360安全卫士最新版下载 | 50.3MB
360安全卫士是一款由奇虎360公司推出的功能强、效果好、受用户欢迎的安全杀毒软件。360安全卫士拥有查杀木马、清理插件、修复漏洞、电脑体检、电脑救援、保护隐私,电脑专家,清理垃圾,清理痕迹...
QQ电脑管家官方正式版
QQ电脑管家官方正式版 | 24.2MB
腾讯电脑管家(Tencent PC Manager/原名QQ电脑管家)是腾讯公司推出的免费安全软件。拥有云查杀木马,系统加速,漏洞修复,实时防护,网速保护,电脑诊所,健康小助手...
金山毒霸2022最新版下载
金山毒霸2022下载 | 37MB
金山毒霸融合了启发式搜索、代码分析、虚拟机查毒等技术。经业界证明成熟可靠的反病毒技术,以及丰富的经验,使其在查杀病毒种类、查杀病毒速度、未知病毒防治等多方面达到世界先进水平...
猎豹清理大师官方版下载
猎豹清理大师下载 | 47.4MB
猎豹清理大师(原金山清理大师)是由金山网络开发的智能手机应用。它可以清理智能手机上的应用缓存、残余程序文件、历史痕迹以及应用程序安装包...
