网站常见的入侵手段和防御方法
网站入侵技术大概有以下几种:
1、上传入侵
上传入侵便是通过上传文件来获得权限,针对有上传文件权限的网站实施,好比论坛可以上传附件、资讯站可以投稿上传图片,这些都可能为上传木马提供便利,上传木马以后,很多信息都会轻松暴露出来的。这个漏洞在网站源码中比较常见,被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高。
防御方法:第三方开源代码要及时升级官方提供的程序补丁;注意对上传的文件进行限制,例如限制文件类型、文件尺寸等,同时要对上传文件以后存储的文件夹进行权限限制,好比图片存储的文件夹没必要保留脚本执行权限,去掉脚本执行权限及文件解压权限等。
2. 暴库,也就是直接下载到数据库
暴库主要是针对使用微软Access数据库的网站。很多入门菜鸟直接从网上下一个免费的程序源码上传上去就用了,黑客可以轻而易举的下载的数据库,因为数据库地址完全就是默认路径。
暴库就是提交字符得到数据库文件,得到了数据库文件我们就直接有了站点的前台或者后台的权限了。
暴库方法:比如一个站的地址为http://www.xxx.com/dispbbs.asp?boardID=7&ID=161,我门就可以把com/dispbbs中间的/换成%5c 如果有漏洞直接得到数据库的绝对路径 用迅雷什么的下载下来就可以了,还有种方法就是利用默认的数据库路径 http://www.xxx.com/ 后面加上conn.asp,如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这里的/也要换成%5c)为什么换成%5c:因为在ASCII码里/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了。如果暴出的数据库文件是以.ASP结尾的,这里可以在下载时把.ASP换成.MDB,这样就可以下载了。如果还下载不了,可能是网站做了防下载。
防御方法:修改默认数据库路径;做.mdb的防下载处理;不要在页面直接显示错误信息。
3. SQL注入漏洞
这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。注入漏洞是因为字符过滤不严禁所造成的,可以得到管理员的帐号密码等。比如这个网址 http://www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的网站,我们可以手动在后面加上个and 1=1看看,如果显示正常页面,再加上个and 1=2看看,如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞,知道了站点有没有漏洞我门就可以利用了。
防御方法:不要使用动态拼装的SQL语句,推荐使用参数化SQL语句;对接收的参数进行字符串长度验证;对单引号和双"-"、下划线、百分号等sql注释符号进行转义
4. XSS/CSRF跨站攻击
Xss(Cross Site Scripting 跨站脚本攻击)/CSRF(Cross-site request forgery 跨站请求伪造),它与著名的SQL注入攻击类似,都是利用了Web页面的编写不完善。SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在Xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,它允许恶意web用户将代码植入到提供给其它用户使用的页面中,这些代码包括HTML代码和客户端脚本,然后引导其他用户点击某链接或浏览页面,将document.cookie等信息传到指定服务器,然后攻击者就可以模拟该用户正常登录网站,窃取用户信息或敏感资料。
防御方法:对cookie信息进行加密;尽量使用cookie的HttpOnly属性;对接收的用户输入进行长度验证;对接收的用户输入进行HTML转码
5. COOKIE欺骗
COOKIE是你上网时由网站所为你发送的值记录了你的一些资料,比如IP,姓名什么的,几乎所有的网站都在使用cookie。
那么怎样通过cookie欺骗呢?如果我们现在已经知道了XX站管理员的站号和MD5密码了 但是破解不出来密码 (MD5是加密后的一个16位的密码),我们就可以用COOKIE诈骗来实现,把自己的ID修改成管理员的,MD5密码也修改成他的,有工具可以修改COOKIE,这样就答到了COOKIE诈骗的目的,系统以为你就是管理员了。
防御方法:对COOKIE进行加密。
6. 程序漏洞
网站程序漏洞便是指程序代码自身的漏洞,好比你用dedecms没修改后台地址及admin账号,或者没有升级dedecms的补丁;或者用了破解的程序,这些程序自身的漏洞很致命,利用者知道漏洞后去搜索引擎查找一下,轻松找到数以百计的漏洞网站。
防御方法:尽量少用破解的程序源码,使用知名CMS时要注意官方介绍的安全配置,建议抹去网站内核程序信息;另外,做资讯站建议关闭会员中心,做论坛建议严格限制附件格式,同时要注意及时升级补丁,别建个站十天半个月都不去看一下。
7. 爆破入侵
爆破便是暴力破解,现在互联网上有很多程序在扫描破解FTP、服务器登录地址等,如果你用的弱口令,好比服务器root账号6位密码,那么很容易被暴力破解;这种入侵方式很傻,不过很有效,总有人不喜欢太复杂的密码。
防御方法:设置长度不低于18位的密码,建议英文字母大小写及数字、符号组合;保证你的账号密码和别的地方的账号密码不同,避免别人通过字典匹配成功。至于后台地址及端口号什么的,不走寻常路,复杂意味着安全。
8. 旁注入侵
入侵某站时可能这个站坚固的无懈可击,网站程序很安全,安全配置很专业。这时,我们可以找和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。打个形象的比喻, 比如你和我一个楼 我家很安全,而你家呢 却漏洞百出 现在有个贼想入侵我家 他对我家做了监视(也就是扫描)发现没有什么可以利用的东西 那么这个贼发现你家和我家一个楼 你家很容易就进去了 他可以先进入你家 然后通过你家得到整个楼的钥匙(系统权限) 这样就自然得到我的钥匙了 就可以进入我的家(网站)
防御方法:这种情况经常发生在虚拟主机中,其中一个网站中毒,如果服务器安全配置不好,很可能被取得服务器权限,从而对所有的网站下手。如果经济条件允许,建议选择VPS或者云主机,安全性可以提升不止一个档次。
参考文章
http://jingyan.baidu.com/article/e52e3615bbde8640c60c5120.html (常用网站入侵手法介绍)
http://jingyan.baidu.com/article/93f9803fc9e0d7e0e46f5531.html (常见的网站入侵方式和防范入侵的网站配置)
http://www.2cto.com/article/201505/400743.html (网站入侵常用方法)
http://www.2cto.com/article/201505/400742.html (1024妹:如何优雅的用Discuz! 7.2的SQL注入漏洞造福单身男)
http://www.letswin.cn/newsDetails-15822.aspx (2016年黑客常用的入侵网站的技术有哪些?)
http://blog.csdn.net/eldn__/article/details/8204060 (Cookie欺骗的原理)
http://www.cnblogs.com/MR-YY/p/5259178.html (通过COOKIE欺骗登录网站后台)
https://my.oschina.net/editorial-story/blog/1142966 (网站漏洞检测工具)
http://www.cnblogs.com/tingtang/archive/2008/01/10/1032932.html (服务器入侵工具)
版权声明:本文采用署名-非商业性使用-相同方式共享(CC BY-NC-SA 3.0 CN)国际许可协议进行许可,转载请注明作者及出处。 |