项目10Web安全.ppt

10.4.4 任务4: 利用SQL注入漏洞实现网站入侵的演示 1. 任务目标 (1) 了解SQL注入漏洞的危害性。 (2) 了解SQL注入漏洞的攻击方法。 2. 完成任务所需的设备和软件 (1) Windows XP/2003计算机1台。 (2) 存在SQL注入漏洞的网站1个。 (3) 旁注Web综合检测程序1套。 (4) MD5破解工具软件1套。 3. 任务实施步骤 步骤1：下载并运行旁注Web综合检测程序，选择“SQL注入”选项卡，在“批量扫描注入点”页面中，单击“添加网址”按钮，在弹出的“添加检测网址”对话框中添加可能存在SQL注入漏洞的网址()，如图10-67所示。 步骤2：单击“OK”按钮后，再单击“批量分析注入点”按钮，扫描出该网站的所有注入点——SQL漏洞，如图10-68所示。 步骤3：在图10-68中选择其中的一个注入地址，并将其复制到“SQL注入猜解检测”页面中的“注入点”文本框中。单击“开始检测”按钮，检测该URL是否可以进行注入，如图10-69所示。 步骤4：如果该URL可以进行注入，则依次单击“猜解表名”、“猜解列名”、“猜解内容”按钮进行数据库表名、列名和字段内容的猜解，如图10-70所示。 步骤5：从图10-70中可以知道，表admin中有username列和password列，还知道admin账号(很可能是管理员的账号)密码的MD5值为7bb53d42febec5f8。 步骤6：接下来需要找出该网站的管理入口。切换到“管理入口扫描”页面，单击“扫描后台地址”按钮，可以得到如图10-71所示的网站管理入口地址。 步骤7：可以通过尝试，最终找出在获取的地址中到底哪一个才是真正的网站管理地址。 步骤8：最后，要破解经过加密的管理员账号admin的密码。可以通过MD5破解工具(详见5.4.1节的内容)或者MD5破解网站来实现。 步骤9：有了网站的管理入口地址和管理员的账号、密码之后，即可登录网站的管理页面进行管理。至此，一次SQL注入成功。 步骤10：SQL成功注入后，可以通过多种方式对Web服务器进行攻击。例如，在Web网站管理中找出ASP上传的漏洞，上传ASP木马和Webshell来获取服务器的账户和密码。然后，通过远程登录进入服务器，并在服务器上植入灰鸽子等木马程序，留下后门以便下次进入。 10.5 拓展知识：防范网络钓鱼 1. 什么是网络钓鱼 网络钓鱼(Phishing)是诈骗者利用欺骗性的电子邮件和伪造的Web站点(钓鱼网站)来进行网络诈骗活动，诱骗访问者提供一些私人信息，受骗者往往会泄露自己的私人资料，如用户名、信用卡号码、银行卡账户、身份证号码等内容。 钓鱼网站是设置一个以假乱真的假网站，欺骗网络浏览者上当，链接进入假冒网站，木马程序趁机植入用户的计算机。 网络钓鱼一词，是由“Fishing”和“Phone”组合而成，由于黑客始祖起初是用电话作案，所以用“Ph”来取代“F”，创造了“Phishing”，Phishing发音与Fishing相同。“网络钓鱼”就其本身来说，称不上是一种独立的攻击手段，更多的只是诈骗方法，就像现实社会中的一些诈骗一样。 曾出现过的某假冒银行网站，网址为，而真正银行网站是，犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。 2. 网络钓鱼的防范 针对网络钓鱼的威胁，主要有以下几个防范技巧。 ① 直接输入域名，避免直接点击不法分子提供的相似域名。 ② 不要打开陌生人的电子邮件，这很有可能是别有用心者精心营造的。 ③ 不要直接用键盘输入密码，而是改用软键盘。 ④ 安装杀毒软件并及时升级病毒知识库和操作系统补丁，尤其是反钓鱼的安全工具。 ⑤ 针对银行账号，要利用数字证书来对交易进行加密。 ⑥ 登录银行网站前，要留意浏览器地址栏，如果发现网页地址不能修改，最小化IE窗口后仍可看到浮在桌面上的网页地址等现象，要立即关闭IE窗口，以免账号密码等被盗。 有关专家建议网民在网上购物时需提高警惕，不要轻信交易对方以低价或其他理由发送的站外商品页面、付款页面，妥善保管好自己的网络账号和密码，经常升级防病毒软件，提高电脑的安全性。 此外，通过第三方支付平台进行交易时，安装必要的数字证书和安全控件，可充分保障你的账户与资金免受木马和网络钓鱼的威胁。 ⑤ 安装Web服务器数字证书。 步骤1：再次打开“Internet信息服务(IIS)管理器”窗口，右击“默认网站”选项，在弹出的快捷菜单中选择“属性”命令，打开“默认网站 属性”对话框。 步骤2：在“目录安全性”选项卡中，单击“安全通信”区域中的“服务器证书”按钮，在打开的Web服务器证书向导的欢迎页面中，单击“下一步”按钮，打开“挂起的证书请求”对话框，如图10-44所示，选中“处理挂起的请求并安装证书”单