Board logo

标题: 网站基本安全 [打印本页]

作者: 柔肠寸断    时间: 2008-8-30 20:45     标题: 网站基本安全

前言
    因为本人也只是新人,技术没那些高人厉害,所以只好谈下我个人拜访一些网站之后的一些想法,有不对之处,希望大家指出,也借此,希望大家一起讨论关于网站安全方面的一些疏漏及防范措施!

第一网络隐患:万能密码的使用!

    英文标点符号 '  组成的'or'='or' 输入语句,这就是通常所说的OR漏洞!
    在后台管理文件当中,假如他们未过滤掉 '  字符,那么在接受USER,PWD变量时就会相当于断 口的批漏,也就是OR漏洞,
    这样就算拿不到WEBSHELL,但对这个网站的管理也会产生不小的“恶作剧效果”
    该怎么弥补这个漏洞呢,很简单,只要在这个文件当中修改几处语句,过滤到这个符号,就可以
    修复OR漏洞!
  1. <%
  2. user = replace(trim(request.form("user")),"'","")
  3. pwd = replace(trim(request.form("pwd")),"'","") %>
复制代码
因为每个文件的变量参数不一样,在后台输入密码的调用参数也会不一样,所以后面的参数调用,我就没法补全了!

第二网络隐患:默认数据库的下载!

      这个没什么好说的,就是使用各种网站设计时的默认管理路径漏洞来入侵的![不过有一点要注意,后面讨论!]对于新手,我想你们在使用这个漏洞入侵的时候,应该有时会遇到数据库无法备份的情况吧,其他很简单,利用他原始的数据库恢复就可以让这个漏洞继续有效!方法略过,不在此讨论入侵!解决方案大体上,我分为三种:一种是修改他默认属性,一种是添在特殊字符,一种就是加密!

第一种又可以分几类:在模版里面找到CONFIG,CONN[常见修复数据库的文件名]里面应该都有“中文说明”,所以大家注意下就可以了,修复数据库默认名,默认路径等!假如是自己做的空间提供共享服务的话,你可以试着修改数据库的默认后缀名MDB,你可以改为asp,asa等,这个呢,你还要在IIS当中修改这些后缀不可以被解析出来!

第二种利用一些特殊字符,比如说“#”空格等!“#”在这里起到间断符的作用,地址串遇到#号,自动认为访问地址串结束。注意:不要设置目录可访问。用这种方法,不管别人用何种工具都无法下载,如快车,迅雷等!同理,空格号也可以起到“#”号作用,但必须是文件名中间出现空格。

第三种数据库加密没什么好讲的,略过!

第三种网络隐患:注入点入侵!

    什么注入点?如何发现注入点?这个我就不在此说明,有需要的可以短信问我,这里只简单讨论下弥补!我个人认为注入点入侵其实就是一个语法上的小小漏洞而已,或者说是此语句构造不够严谨造成程序的批漏!常用的SQL语法运算级别上的逻辑漏洞,COOKIES注入漏洞等!举个简单的例子:
user and psw 假如有一个出现错误,那这个返回值就是0,但我们改为 user or psw只要有一个是对的,我们就可以拿到1这个数值!在入侵过程中,用户的ID应该很容易拿到,PSW这个变量我们不需要知道,随便写一个,只要我们可以找到这个注入点完全可以享有跟管理员一样的权限!
上面只是简单的介绍下注入原理,想知道更全的那就baidu一下吧!那么如何弥补呢?反正SQL语句我也只是小菜菜,算了,反正有大哥帮忙写了些通用的弥补方法,跟我一样的新手们,暂时还是使用《SQL通用防注入程序》来弥补吧!

总结:假如你找不到这个网站的后台地址,我想,入侵也就没那么简单了吧!当然你入侵服务器除外!
那下面告诉大家如何隐藏网站后台!通过搜索,我发现这个HTML代码可以做到把某一网页屏蔽到搜索引擎搜索能力之外
  1. <META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">
复制代码


把这个HTML代码放到你的管理后台,这样就可以避免暴露在外面的风险!
当然假如你想彻底把自己的网站全部屏蔽,
那你在你的服务器的根目录下创建一个robots.txt文件,
内容:

  1. User-Agent: *
  2.     Disallow: /
复制代码
前面那句,其实很多公司在做网站后台模版的时候,都已经加进去了...[也有些没有注意到]
大家可以参看下PHPWIND模板,解压之后,你就可以看到里面也有个robots.txt文件

更高级的服务器入侵,由高手来解说吧!我闪~~~!

提醒
    我有个徒弟再一次入侵中被挂了!被谁挂了?站长?其他管理员?呵呵,是被别的入侵者挂掉了!其实很简单,伪造一个后台登陆页面,使其挂马!这个大家一定要注意哦,不能没黑到别人,自己却反被黑,那可就有点呜呼唉哉啦~~~!

题外话:我把一些常用的数据库相对路径的地址发给大家,方便新手添加挖掘机来挖数据库嘛~~!


  1. database/PowerEasy4.mdb    #动易网站管理系统4.03数据库
  2. database/PowerEasy5.mdb
  3. database/PowerEasy6.mdb
  4. database/PowerEasy2005.mdb
  5. database/PowerEasy2006.mdb
  6. database/PE_Region.mdb
  7. data/dvbbs7.mdb    #动网论坛数据库
  8. databackup/dvbbs7.mdb    #动网论坛备份数据库
  9. bbs/databackup/dvbbs7.mdb    #动网论坛备份数据库
  10. data/zm_marry.asp    #动网sp2美化版数据库
  11. databackup/dvbbs7.mdb
  12. admin/data/qcdn_news.mdb    #青创文章管理系统数据库
  13. firend.mdb    #交友中心数据库
  14. database/newcloud6.mdb    #新云管理系统6.0数据库
  15. database/%23newasp.mdb    #新云网站系统
  16. blogdata/L-BLOG.mdb    #L-BLOG v1.08数据库
  17. blog/blogdata/L-BLOG.mdb    #L-BLOG v1.08数据库
  18. database/bbsxp.mdb    #BBSXP论坛数据库
  19. bbs/database/bbsxp.mdb    #BBSXP论坛数据库
  20. access/sf2.mdb    #雪人论坛程序v2.0数据库
  21. data/Leadbbs.mdb    #LeadBBS论坛 v3.14数据库
  22. bbs/Data/LeadBBS.mdb    #LeadBBS论坛 v3.14数据库
  23. bbs/access/sf2.mdb    #雪人论坛程序v2.0数据库
  24. fdnews.asp    #六合专用BBS数据库
  25. bbs/fdnews.asp    #六合专用BBS数据库
  26. admin/ydxzdate.asa    #雨点下载系统 v2.0+sp1数据库
  27. data/down.mdb    #动感下载系统xp ver2.0数据库
  28. data/db1.mdb    #动感下载系统xp v1.3数据库
  29. database/Database.mdb    #轩溪下载系统 v3.1数据库
  30. db/xzjddown.mdb        #lhdownxp下载系统数据库
  31. db/play.asp            #娱乐先锋论坛 v3.0数据库
  32. mdb.asp                #惊云下载系统 v1.2数据库
  33. admin/data/user.asp    #惊云下载系统 v3.0数据库
  34. data_jk/joekoe_data.asp #乔客6.0数据库
  35. data/news3000.asp      #沸腾展望新闻系统 v1.1数据库
  36. data/appoen.mdb        #惠信新闻系统4.0数据库
  37. data/12912.asp          #飞龙文章管理系统 v2.1数据库
  38. database.asp            #动感极品下载管理系统 v3.5
  39. download.mdb            #华仔软件下载管理系统 v2.3
  40. dxxobbs/mdb/dxxobbs.mdb #dxxobbs论坛数据库
  41. db/6k.asp            #6kbbs      用户名:admin  密码:6kadmin
  42. database/snowboy.mdb  #雪孩论坛  默认后台admin/admin_index.asp
  43. database/%23mmdata.mdb  #依爽社区
  44. editor/db/ewebeditor.mdb #eWebEditor默认数据库  用户名:admin  密码:admin888
  45. eWebEditor/db/ewebeditor.mdb
复制代码
==========================================================================
还有些漏洞入侵,但我个人没法给出比较详细的弥补方法,所以也就只好留到下次写了!本文只讨论网站漏洞的一些弥补方法,希望可以给那些新手站长一些帮助!

作者: wmmy    时间: 2008-9-1 21:24

顶你的肺
作者: ylw7999    时间: 2008-9-1 23:43

我只进过几个用户名和密码都为ADMIN的网站,看了一下!
作者: jerryloving    时间: 2009-4-16 10:44

这个也太简单了吧,肯定还有很多东西没写,比如说上传漏洞之类的~
作者: 冰吻六秒钟    时间: 2010-3-4 19:47

我以后就往这方面发展了 师傅 以后多发点这样的文章 学习了学习了
作者: yzmno0    时间: 2010-4-17 23:21

顶了
。。。。。。。。。。。。。。。。。。。。。。。。。。。。
作者: 清风易    时间: 2010-6-25 17:51

顶   学习    慢慢来
作者: hxliu    时间: 2010-8-8 15:25

学习下哈.....




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2