浅谈网站入侵与防御.pdfVIP

TT SILICON VALLEY ■l《： 【技术应用】 浅谈网站入侵与防御 叶文华 徐金生 (闽南理工学院 福建 石狮 362700) 摘 要： 动网的漏洞已经算很少的了，想要找到数据库的实际位置也不简单，但这不表明黑客无孔可入，也正是这个观点，一般的程序设计员常常忘记仔细 的检查是否有漏洞，所 以才有可能导致网站资料被窃取的事件发生。针对常见网站安全漏洞 问题，引起大家的重视及采取有效的防范措施。 关键词： 安全漏洞；入侵与防御 中图分类号：TP3 文献标识码：A 文章编号：1671--7597(2010)0510146--02 0引言 formmethod=post runat=server ID=Forml 随着Internet的发展，Web技术 日新月异，人们 已经不再满足于静态 反馈信息输入处br HT札技术，更多的是要求动态、交互的网络技术。继通用网关接口 (CGI) Gasp：Textbox ID=feedback runat=server ／br 之后，微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技 aspButton id=cmdSubmit runat= server 术，被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索 Text=提交 !OnC1ick=dofeedback 引擎等各种互联网应用中。与此同时，Access数据库作为微软推出的以标 ／asp：Button 准JET为引擎的桌面型数据库系统，由于具有操作简单、界面友好等特点， ／form 具有较大的用户群体。目前，IIS+ASP+Access是中小型Internet网站的首 script runat= server 选方案。但是 ，该解决方案在为我们带来便捷的同时，也带来了严峻的安 Subdo— feedback(senderAsObject，eAsSystem．EventArgs) 全问题。 Label1．Text：feedback．Text 1页面攻击的建论与实现 EndSub 一 种是以利用浏览器漏洞在访 问页面里编写恶意代码对访问者的攻 ／script 击。这里我们可以理解为服务端对客户端的攻击。另一种刚好相反，是访 这也是很多页面都使用的 问者利用页面的漏洞对服务器的攻击 。我们这里主要讲的是对服务器的攻 但这里面却有一个漏洞。 击 我们可以把特殊的用户嵌入到应答页面。 现在网站程序的编写里为了丰富站点的内容和功能，大面积的采用了 scriptalert(document．cookie) 动态页。在动态页里面最大的失误是无条件的相信用户的输入。如果一个 ／script 用户受到浏览器的限制，可以通过浏览器和服务器的交互来打开攻击WEB应