關(guān)于網(wǎng)絡(luò)安全維護(hù)網(wǎng)站安全與維護(hù)（1）常見(jiàn)網(wǎng)站漏洞常見(jiàn)漏洞如下XSS腳本跨站漏洞SQL注入漏洞SQL‘or’=‘or‘

萬(wàn)能密碼

漏洞這些常見(jiàn)的網(wǎng)站漏洞，幾乎很多網(wǎng)站都存在，也許存在的位置不同沒(méi)有發(fā)現(xiàn)，通常都是程序上的疏忽導(dǎo)致的。第2頁(yè),共21頁(yè)，2024年2月25日，星期天（1-1）XSS漏洞-介紹跨站腳本攻擊

惡意攻擊者往存在XSS網(wǎng)站頁(yè)面里插入惡意html代碼，當(dāng)用戶(hù)瀏覽該頁(yè)之時(shí)，嵌入其中的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶(hù)特殊目的。危害程度，可以跨站獲取用戶(hù)信息或者嵌入惡意代碼可能導(dǎo)致植入木馬注意:此類(lèi)程序BUG漏洞也同樣也存在其他程序語(yǔ)言與數(shù)據(jù)庫(kù)如PHPJSP.ASPX原理大同小異區(qū)別很小第3頁(yè),共21頁(yè)，2024年2月25日，星期天（1-2）XSS漏洞-分析1，此類(lèi)網(wǎng)站漏洞，屬于程序上的過(guò)濾信息與數(shù)據(jù)不嚴(yán)謹(jǐn),網(wǎng)站程序編寫(xiě)者對(duì)于提交的表單信息與請(qǐng)求沒(méi)有做相對(duì)應(yīng)的過(guò)濾與替換處理，就會(huì)存在XSS安全問(wèn)題，XSS包含類(lèi)型2,提交數(shù)據(jù)類(lèi)型XSS例如留言本論壇提交信息時(shí)候產(chǎn)生的，3,地址參數(shù)型XSS

例如動(dòng)態(tài)GET請(qǐng)求所附帶參數(shù)產(chǎn)生第4頁(yè),共21頁(yè)，2024年2月25日，星期天（1-3）XSS漏洞-實(shí)測(cè)系統(tǒng)需求：windows2003環(huán)境:IIS6.0ASP基本環(huán)境工具:【存在XSS問(wèn)題的網(wǎng)站程序】，消息框提示XSS代碼"><script>alert('我是黑客')</script><"第5頁(yè),共21頁(yè)，2024年2月25日，星期天（1-3-1）XSS漏洞-實(shí)測(cè)留言本頁(yè)面主頁(yè)字段消息框提示代碼"><script>alert('我是黑客')</script><"COOK安全XSS代碼"><script>alert(document.cookie)</script><"高級(jí)跨域XSS代碼"><script>document.write('<scri'+'ptsrc="/xss.js"type="text/javascript"></s'+'cript>');</script><"第6頁(yè),共21頁(yè)，2024年2月25日，星期天

演示XSS漏洞方法與流程第7頁(yè),共21頁(yè)，2024年2月25日，星期天（1-4）XSS漏洞-解決辦法需要網(wǎng)站程序設(shè)計(jì)者檢查修改涉及提交與信息發(fā)布的程序頁(yè)面，并且做出過(guò)濾與替換處理例如<‘（單引號(hào)）js腳本

等特殊字符串進(jìn)行過(guò)濾第8頁(yè),共21頁(yè)，2024年2月25日，星期天第9頁(yè),共21頁(yè)，2024年2月25日，星期天（2-1）SQL注入漏洞-介紹SQL注入，就是通過(guò)把SQL命令偽造成Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來(lái)說(shuō)，它是利用現(xiàn)有應(yīng)用程序，將（惡意）的SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的，它可以通過(guò)在Web表單中輸入（惡意）SQL語(yǔ)句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫(kù)，而不是按照程序設(shè)計(jì)者意圖去執(zhí)行SQL語(yǔ)句。這類(lèi)SQL注入安全問(wèn)題，通常是程序員，對(duì)提交的信息與數(shù)據(jù)沒(méi)有做過(guò)濾處理與替換，導(dǎo)致供給可以提交有害的SQL語(yǔ)句并執(zhí)行注意:此類(lèi)程序BUG漏洞也同樣也存在其他程序語(yǔ)言與數(shù)據(jù)庫(kù)如PHPJSP.ASPX原理大同小異區(qū)別很小第10頁(yè),共21頁(yè)，2024年2月25日，星期天（2-2）SQL注入漏洞-實(shí)測(cè)系統(tǒng)需求：windows2003環(huán)境:IIS6.0ASP基本環(huán)境工具:【存在SQL注入漏洞的ASP或其他語(yǔ)言腳本的網(wǎng)站】【啊D注入工具】【或明小子注入工具】第11頁(yè),共21頁(yè)，2024年2月25日，星期天（2-2-1）SQL注入猜密碼-實(shí)測(cè)SQL注入漏洞是指通過(guò)網(wǎng)站存在的SQL注入點(diǎn)修改提交的信息包含特定的SQL語(yǔ)句，實(shí)現(xiàn)的SQL注入過(guò)程漏洞檢測(cè)語(yǔ)句是否存在SQL漏洞AND(1=1)AND(1=2)正常流程執(zhí)行語(yǔ)句Select*Fromnewswhereid=1注入修改漏洞語(yǔ)句

判斷注入存在與猜解作用Select*Fromnewswhereid=1AND(1=1)AND(1=2)第12頁(yè),共21頁(yè)，2024年2月25日，星期天演示猜解方法與流程第13頁(yè),共21頁(yè)，2024年2月25日，星期天（2-2-2）SQL注入提權(quán)-實(shí)測(cè)

與之前注入?yún)^(qū)別不是注入解密猜庫(kù)語(yǔ)句而這個(gè)注入的是cmdSHELL語(yǔ)句可以提權(quán)與進(jìn)一步控制電腦用啊D掃描出注入點(diǎn)復(fù)制注入點(diǎn)在CMD上傳操作執(zhí)行相關(guān)注入。第14頁(yè),共21頁(yè)，2024年2月25日，星期天演示SQL注入提權(quán)方法與流程第15頁(yè),共21頁(yè)，2024年2月25日，星期天（2-3）SQL注入漏洞-解決辦法工具軟件解決辦法：安裝

安全狗

或其他同類(lèi)產(chǎn)品，也可以杜絕此類(lèi)安全漏洞程序解決辦法：需要網(wǎng)站程序設(shè)計(jì)者檢查修改涉及提交與信息發(fā)布的程序頁(yè)面，并且做出過(guò)濾與替換處理例如‘(單引號(hào))andselect進(jìn)行特殊字符過(guò)濾第16頁(yè),共21頁(yè)，2024年2月25日，星期天第17頁(yè),共21頁(yè)，2024年2月25日，星期天（3-1）or萬(wàn)能密碼漏洞-介紹or萬(wàn)能密碼漏洞也是程序上的SQL漏洞屬于程序員開(kāi)發(fā)時(shí)候留下的缺陷正常的驗(yàn)證查詢(xún)語(yǔ)句被黑客利用修改為以單引號(hào)及OR語(yǔ)句后就改變了查詢(xún)的意義，這樣就會(huì)繞過(guò)驗(yàn)證。注意:此類(lèi)程序BUG漏洞也同樣也存在其他程序語(yǔ)言與數(shù)據(jù)庫(kù)如PHPJSP.ASPX原理大同小異區(qū)別很小第18頁(yè),共21頁(yè)，2024年2月25日，星期天（3-2）or萬(wàn)能密碼漏洞-實(shí)測(cè)系統(tǒng)需求：windows2003環(huán)境:IIS6.0ASP基本環(huán)境工具:【存在SQL漏洞的ASP網(wǎng)站】【SQL命令