千脑跳转页面下的安全分析
在线视频:http://www.tudou.com/v/BERnmsgtvKE/&rpid=101033195/v.swf
大家好,我是小雨 QQ:798033502
欢迎来到BadBoy 网络安全小组
我们的网站是:www.hackbadboy.com
网站宗旨:普及网络安全知识,推动信息技术发展。
BadBoy技术交流群:112701095
BadBoys—兄弟情谊群:118262984
BadBoy网络安全小组:13822127
====================================================
今天给大家带来的教程是《网站安全编程第4讲》
一、互联网现状
现在时间是2011年11月17日,我们知道,互联网发展至今天,网络上的很多东西都已经达到饱和。包括很多技术由于人为因素或客观因素无法得到发展和传播,这一点在中国尤为突出。技术停顿不前,或发展缓慢,尤其是网络安全技术。网络安全技术就像原子弹,我们不能因为原子弹危害大而不去研究,我们不能只看到阴暗面。网络安全是一把双刃剑,我们应该尽量把握好这个度,使得网络安全往好的一方面发展。
其实,网络安全,在互联网刚发展起来的时候,是基本不用考虑的问题,因为那时候人们注重的是功能本事,例如软件开发,写出软件的功能就可以。而现在和今后,在日新月异的今天,我们不但要注重功能的完善,更重要的是能确保软件本事不存在漏洞,也就是我们要讲到的网络安全。
二、2011年与未来50年内互联网中赚钱的行业是什么?
1,电子商务
2,网络营销
今天为什么拿这两个行业出来?首先,电子商务,只要跟金钱挂关系的,而且又是在网络上赚钱的,那么我们就得更加注重网络安全。其次是,网络营销,网络营销中是SEO搜索引擎优化这门技术必然要与网络安全技术结合。因为SEO重在做关键词的优化,目录结构的优化。这就用到常规命名法则,与网络安全中的非常规命名法则是相悖的,因此必然带来一些安全问题。
三、实例:
1,高级语法入侵中有一个准则,网站目录若存在禁止访问,以及跳转,则说明目录存在。而我们要做的就是从禁止访问目录和跳转目录进行安全检测。我们至少要达到以下两个目的1),猜解出禁止访问目录和跳转目录下可能会存在的文件,(2),尽可能使其爆出错误信息。而这些错误信息恰恰是我们所要用到的关键
2,http://www.1739tp.com/
http://www.1739tp.com/admin/upload/
http://www.1739tp.com/admin/editubb/db/dbwebedit%23cc495898.asp
请求的 URL |
http://www.1739tp.com:80/admin/upload/ |
物理路径 |
d:\freehost\1739tp\web\admin\upload\ |
3,千脑跳转目录下的安全分析
http://gd.qiannao.com/servlet/FileDownload
http://down.qiannao.com/tomos/ui/gotospace.jsp
http://gd.qiannao.com/servlet/FileDownload?vid=1&vid2=0&filename=//www.hackbadboy.com.rar
四:声明
本教程并无恶意破坏任何网站和系统,更无诋毁千脑等网站之意。意在带领大家探索网站安全编程中所遇到的安全问题,已及解决办法。本系列教程暂不完全公开,更多经典教程请到官网查看。同时也希望更多优秀人才能在论坛发布教程,共同学习进步。