网站漏洞分析
【摘要】 网站漏洞分析
一、经典漏洞
'or' '='
这样的漏洞解决起来也是比较容易的,过滤用户名和密码即可,不过也常常被忽视。
二、验证用户权限漏洞
cookies保存在本地机子上记录用户的一些信息,顾在本地可以进行恶意修改
session保存在服务器上,较占用服务器资源。
防止此类漏洞的办法是进行双重验证。
三、垮站攻击漏洞
例子:<script>alert("test only alert dialog box")</script>
这仅仅是弹出一对话框,可想而知,挂马或者跳转其他站点便很容易实现。
此类漏洞如被黑客利用,后果很严重,首先受害者是浏览网页的用户。
解决方案:过滤 < > % ASCⅡ码等,简单的也可以通过限制表单长度解决。
四、注入攻击漏洞
http://www.*****.com/edit.asp?id=8
edit.xxx? xxx=???
' 判定是否出错
' and 1=1
' and 1=2 通过后俩个看其页面是否相同,如1正常,2不正常,则可断定有注入点。
../union select 1,2,3,4,5,6,7 form admin 直接对数据进行查询
防止这样的漏洞是过滤 ' " 及ASCⅡ码。
五、数据库漏洞
1、防下载没有做好
<% %>
对于一些.asp和.php网站来说, ../date/#difedate.asp
可以 ../date/%23difedate.asp
2、利用跨漏洞写shell
如写蓝屏木马
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
热门文章
评论(0)