一区不卡国产视频,小黄片免费视频在线观看,国产这里有精品99,国产成人精品自产久久亚洲精品,亚洲国产电影二区

品優(yōu)網(wǎng)絡(luò) 十六年(2003-2018)專注
黑客常用的攻擊手段
日期:2014-12-24 作者:admin 來源: 瀏覽次數(shù):0 網(wǎng)友評(píng)論 0

企業(yè)網(wǎng)站推廣1

    1.危險(xiǎn)性的上傳漏洞
這個(gè)也要分三類:
  一類是上傳的地方無任何身份驗(yàn)證,而且可以直接上傳木馬。
  一類是只是注冊(cè)一個(gè)賬戶就可以上傳的,然后上傳的地方也沒有做好過濾。
  一類是管理員后臺(tái)的認(rèn)證上傳的。
  當(dāng)然有的上傳可以直接上傳腳本木馬,有的經(jīng)過一定的處理后才可以上傳腳本木馬。無論怎樣這是很多攻擊者都是通過上傳拿下網(wǎng)站的權(quán)限。
    2.注入漏洞
各種腳本的注入漏洞利用方法跟權(quán)限都有所差異。危險(xiǎn)的可以直接威脅到服務(wù)器系統(tǒng)權(quán)限。普通的注入可以爆出數(shù)據(jù)庫里面的賬戶信息。從而得到管理員的密碼或其他有利用的資料。如果權(quán)限高點(diǎn)可以直接寫入webshell,讀取服務(wù)器的目錄文件,或者直接加管理賬戶,執(zhí)行替換服務(wù)等等攻擊。
    3.中轉(zhuǎn)注入,也叫cookie中轉(zhuǎn)注入
  本來這個(gè)要?dú)w于樓上那一類,但是我單自列出來了。有些程序本身或者外加的防注入程序都只是過濾了對(duì)參數(shù)的post或者get。而忽略了cookie。所以攻擊者只要中轉(zhuǎn)一下同樣可以達(dá)到注入的目的。
    4.數(shù)據(jù)庫寫入木馬
  也就是以前可能有些程序員認(rèn)為mdb的數(shù)據(jù)庫容易被下載,就換成asp或者asa的。但是沒有想到這么一換,帶來了更大的**隱患。這兩種格式都可以用迅雷下載到本地的。更可怕的是,攻擊者可以一些途徑提交一句話木馬,插入到數(shù)據(jù)庫來,然后用工具連接就獲得權(quán)限了。   

    5.數(shù)據(jù)庫備份
  這其實(shí)是很多網(wǎng)站后臺(tái)的一個(gè)功能,本意是讓各位管理員備份數(shù)據(jù)庫。但是攻擊者通過這個(gè)來把自己上傳帶后門的圖片木馬的格式改成真正的木馬格式。從而得到權(quán)限。記得之前有個(gè)網(wǎng)站系統(tǒng)數(shù)據(jù)庫備份的那個(gè)頁面沒有管理認(rèn)證,那危害就更大了。有的網(wǎng)站數(shù)據(jù)庫備份雖然有限制,但是還是被某些特殊情況突破了。比如攻擊者可以備份的格式有,asp,asa,cer,htr,cdx,php,jsp,aspx,ashx,asmx還有幾個(gè)iis6.0環(huán)境下可利用的.asp;x.jpg .asa;x.jpg .php;x.jpg這類的,很多程序員編寫的asp程序只過濾解析asp的格式,忽略了php等其他的解析。還有就是備份目錄的文件夾名為tjseotv.asp tjseotv.asa這種解析。如果以上的都用不了,攻擊者還可能網(wǎng)站目錄下的conn.asp文件備份成tjseotv.txt來查看數(shù)據(jù)庫路徑,也許會(huì)用的數(shù)據(jù)庫寫入木馬的手段。當(dāng)然攻擊的方法是我們列舉不完的。只有通過大家的交流,了解更多。
    6.管理賬戶密碼的泄露
也許大家會(huì)說上面那一種攻擊手段需要在有管理賬戶的前提下完成。這里我就講下一些常見的管理賬戶密碼的泄露。
  前幾:**密碼'or'='or'。還有其他更多的寫法。這個(gè)的原理大家可以在我網(wǎng)站里搜索下。就是把這個(gè)當(dāng)著管理員的賬戶密碼就可以直接進(jìn)入后臺(tái)。現(xiàn)在還有很多網(wǎng)站仍然能進(jìn)。
  **:弱口令。比如你的密碼是admin/admin888/123456/5201314等。這樣很容易被猜到。
  第三:默認(rèn)密碼。這里分默認(rèn)的后臺(tái)密碼與默認(rèn)的后臺(tái)數(shù)據(jù)庫。假如攻擊者知道了你網(wǎng)站是哪一套源碼搭建的,就會(huì)去下一套相同的源碼來看默認(rèn)的數(shù)據(jù)庫是否能下載,后臺(tái)密碼是否仍未更改。
  第四:站長個(gè)人通用密碼。很多人就是在網(wǎng)絡(luò)上只用一個(gè)密碼。不管是哪個(gè)環(huán)節(jié)你的密碼被泄露,攻擊者可能用這個(gè)密碼去測試你的網(wǎng)站后臺(tái),你的郵箱,你的QQ號(hào),你的ftp,你在其他地方注冊(cè)的賬戶。。這個(gè)問題有點(diǎn)嚴(yán)重,涉及到社會(huì)工程學(xué)這一塊。   7.編輯器
  兩大主力編輯器ewebeditor和fckeditor。ewebeditor低版本的確是是存在漏洞,可以構(gòu)造代碼直接上傳木馬。但是高版本現(xiàn)在市場上的還沒有說有什么漏洞。但是更邪惡的卻是大家用的時(shí)候忘記該ewebeditor的后臺(tái)密碼和數(shù)據(jù)庫路徑,從而導(dǎo)致網(wǎng)站被入侵。fckeditor有些修改版的可以直接上傳的木馬。但自從";"漏洞出現(xiàn)后,入侵者就比較瘋狂了,有的版本傳一次不成功,還要再傳一次就成功了。很多大網(wǎng)站就被牽連。
    8.ftp弱口令
  上面講過了,有可能你用了通用密碼。還有就是弱口令。比如你的網(wǎng)站是seo。那么攻擊者可能把seoadmin作為用戶名(事實(shí)證明很多虛擬主機(jī)都是這樣配置的),然后生成一系列的弱口令,比如seo123/seo123456/seo888/seo520/123456/888888/seo.cn/seoftp等等,因?yàn)榭梢杂孟嚓P(guān)的工具來掃描,所有他可以生成很多一般人都用的密碼來試探你的ftp密碼。科學(xué)研究證明這個(gè)方法危害性也比較大。
     9.0day
  現(xiàn)在很多人用一些主流的程序。比如動(dòng)網(wǎng),discuz論壇,phpwind,動(dòng)易,新云等等這些用戶量很多源碼,也會(huì)時(shí)不時(shí)的給大家?guī)?amp;quot;驚喜",對(duì)于這個(gè)大家請(qǐng)多關(guān)注站長防黑網(wǎng)更新程序漏洞的文章。盡快為程序打上補(bǔ)丁。
    10.旁站。就是拿下與你同一服務(wù)器上的其他網(wǎng)站,然后在通過一些xx手段,得到更多的信息。如果權(quán)限夠大,直接扔個(gè)木馬到你目錄;如果權(quán)限一般,扔木馬扔不進(jìn)去,就讀你管理員密碼,或者其他敏感信息,進(jìn)一步入侵;如果權(quán)限比較差一點(diǎn),攻擊者會(huì)嘗試嗅探。<br />
  11.還有一些不能忽略的。暴庫,列目錄,任意下載漏洞,包含文件漏洞,iis寫入漏洞,cookie欺騙,跨站xss等等很多很多。

黑客常用的攻擊手段,多多交流。

企業(yè)網(wǎng)站推廣2

查看更多寧波網(wǎng)站制作黑客手段常用

寧波網(wǎng)站建設(shè) (http://www.sdjianlida.com/) 版權(quán)與免責(zé)聲明
    1、凡本網(wǎng)注明“來源:寧波品優(yōu)網(wǎng)絡(luò)”字樣的所有作品,版權(quán)均屬于浙江省寧波海曙品優(yōu)網(wǎng)絡(luò)技術(shù)有限公司,如需轉(zhuǎn)載、摘編或利用其它方式使用上述作品,請(qǐng)與本網(wǎng)聯(lián)系。
    2、凡本網(wǎng)注明“來源:XXX(非寧波品優(yōu)網(wǎng)絡(luò))”的作品,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。寧波網(wǎng)站建設(shè)的轉(zhuǎn)載僅為信息的廣泛傳播,如有侵權(quán)請(qǐng)及時(shí)告之刪除。
返回:寧波網(wǎng)站制作