[网站安全.pptVIP

网站安全检测 Website Security Assessment 主讲人：武晓鹏 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 讲述内容 网站安全 工具介绍 注意要点 检测流程 We build secuirty Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 网站安全 概要 分类 详情 We build secuirty Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 概要 随着互联网的迅猛发展,网站安全性问题日趋严重。黑客攻击网 站,导致网站数据丢失,或者篡改网站数据以达到私用目的,或者致使网站拒绝服务…,我们前一段时间的工作主要在分析黑客攻击网站的常用手段、攻击原理、攻击技巧,针对本公司的中文外网进行了检测,进一步收集信息和解决问题来规避网站安全漏洞的产生,阻止黑客的攻击行为，保障网站的安全。 We build secuirty Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 分类 按漏洞的产生： 服务器本身的配置 网站代码的编写 用户使用不当 漏洞危险： Information（信息泄露） Critical（确实存在危险） We build secuirty Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. SQL注入 含义 : 所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查 询字符串，最终达到欺骗服务器执行恶意的SQL命令。 原理： 随着B/S (Browser/Server)模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根 据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。但是，SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析，构造巧妙的SQL语句，从而成功获取想要的数据. We build secuirty Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. SQL注入实例 3/admin/page 源代码： function login($username, $password){ unset($_SESSION[user_login_error_msg]); $user_pwd=sha1($password); $condition=email=.$username. and password=.$user_pwd.; $user=$this-listRecord($condition); ……} function listRecord($condition=, $orderby=, $field=*){ if (empty($condition)) { $sql=SELECT $field FROM .$this-_prefix.$this-TableName;//Return all of the records} els