千脑跳转页面下的安全分析

在线视频:http://www.tudou.com/v/BERnmsgtvKE/&rpid=101033195/v.swf

大家好,我是小雨   QQ:798033502

欢迎来到BadBoy 网络安全小组

我们的网站是:www.hackbadboy.com

网站宗旨:普及网络安全知识,推动信息技术发展。

BadBoy技术交流群:112701095

BadBoys—兄弟情谊群:118262984

BadBoy网络安全小组:13822127

====================================================

今天给大家带来的教程是《网站安全编程第4讲》

一、互联网现状

现在时间是20111117日,我们知道,互联网发展至今天,网络上的很多东西都已经达到饱和。包括很多技术由于人为因素或客观因素无法得到发展和传播,这一点在中国尤为突出。技术停顿不前,或发展缓慢,尤其是网络安全技术。网络安全技术就像原子弹,我们不能因为原子弹危害大而不去研究,我们不能只看到阴暗面。网络安全是一把双刃剑,我们应该尽量把握好这个度,使得网络安全往好的一方面发展。

其实,网络安全,在互联网刚发展起来的时候,是基本不用考虑的问题,因为那时候人们注重的是功能本事,例如软件开发,写出软件的功能就可以。而现在和今后,在日新月异的今天,我们不但要注重功能的完善,更重要的是能确保软件本事不存在漏洞,也就是我们要讲到的网络安全。

二、2011年与未来50年内互联网中赚钱的行业是什么?

1,电子商务

2,网络营销

今天为什么拿这两个行业出来?首先,电子商务,只要跟金钱挂关系的,而且又是在网络上赚钱的,那么我们就得更加注重网络安全。其次是,网络营销,网络营销中是SEO搜索引擎优化这门技术必然要与网络安全技术结合。因为SEO重在做关键词的优化,目录结构的优化。这就用到常规命名法则,与网络安全中的非常规命名法则是相悖的,因此必然带来一些安全问题。

三、实例:

1,高级语法入侵中有一个准则,网站目录若存在禁止访问,以及跳转,则说明目录存在。而我们要做的就是从禁止访问目录和跳转目录进行安全检测。我们至少要达到以下两个目的1),猜解出禁止访问目录和跳转目录下可能会存在的文件,(2),尽可能使其爆出错误信息。而这些错误信息恰恰是我们所要用到的关键

2http://www.1739tp.com/

   http://www.1739tp.com/admin/upload/

http://www.1739tp.com/admin/editubb/db/dbwebedit%23cc495898.asp

请求的 URL

http://www.1739tp.com:80/admin/upload/

物理路径

d:\freehost\1739tp\web\admin\upload\

3,千脑跳转目录下的安全分析

http://gd.qiannao.com/servlet/FileDownload

http://down.qiannao.com/tomos/ui/gotospace.jsp

http://gd.qiannao.com/servlet/FileDownload?vid=1&vid2=0&filename=//www.hackbadboy.com.rar

四:声明

本教程并无恶意破坏任何网站和系统,更无诋毁千脑等网站之意。意在带领大家探索网站安全编程中所遇到的安全问题,已及解决办法。本系列教程暂不完全公开,更多经典教程请到官网查看。同时也希望更多优秀人才能在论坛发布教程,共同学习进步。


posted @ 2011-11-17 13:41  MXi4oyu  阅读(193)  评论(0编辑  收藏  举报