- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
web脚本攻击与防御
Web脚本攻击与防御 ♂ Web攻击技术基础 ♂ 网站脚本入侵与防范 Web攻击技术基础 常见Web脚本攻击方式 Web数据库概述 SQL数据库概述 常用Web脚本简介 脚本程序与数据库接口 常见Web脚本攻击方式 Web攻击的方式很多,但最常见的Web攻击主要分为如下几种: ●注入攻击。 ●上传漏洞攻击。 ●sa弱密码的入侵技术。 ●跨站攻击。 ●网站旁注入侵。 ●其他脚本攻击。 Web数据库概述 数据库技术是计算机处理与存储数据的最有效、最成功的技术,而计算机网络的特点是资源共享,因此,数据与资源共享这两种技术的结合,就成为今天广泛应用的Web数据库(即网络数据库)。Web数据库就是将用户利用浏览器作为输入接口,输入所需要显示的数据,再由浏览器将这些数据传送给网站,而网站再对这些数据进行处理(如将数据存入后台数据库,或者对后台数据库进行查询操作等),最后网站将操作结果传回给浏览器,通过浏览器将结果告知用户。此时网站上的后台数据库就是Web数据库。Web数据库的体系结构如图3-1所示。 SQL数据库概述 SQL Server 是一个关系数据库管理系统。具有使用方便可伸缩性好与相关软件集成程度高等优点。选择【开始】→【程序】→【Microsoft SQL Server】→【企业管理器】菜单项,即可打开【SQL Server Enterprise Manager(企业管理器)】窗口,在其中依次展开左边的树形菜单,如图3-2所示。而选择【开始】→【程序】→【Microsoft SQL Server】→【服务管理器】菜单项,即可打开【SQL Server服务管理器】窗口,如图3-3所示。 网站脚本入侵与防范 Web脚本攻击概述 脚本漏洞的根源与防范 黑客程序的配置 现在使用的木马或后门程序,很多都要由客户端配置生成木马或后门的服务端,如灰鸽子就有这项功能,其服务端配置窗口如图2-8所示。在其中输入相应的配置信息,如反向连接IP、自启动方式、代理服务等,单击【生成服务器】按钮,即可看到【配置服务器程序成功】提示信息,如图2-9所示。 这样,不仅可以生成服务端,还可以满足不同用户的需要。如果在编程过程中,要想改变这些信息,则需要修改源代码,重新编译才可以实现。在本节就来介绍如何通过编程来配置木马或后门程序。 数据包嗅探 原始套接字基础 利用ICMP原始套接字实现ping程序 基于原始套接字的嗅探技术 利用Packet32实现ARP攻击 脚本漏洞的根源与防范 随着脚本漏洞的挖掘,黑客越来越猖狂,并且越来越低龄化和傻瓜化。各种Web应用程序之所以会出现攻击漏洞,其原因是多方面的,主要表现在如下两点。 1.程序语言自身的缺陷 由于用于网页设计的HTML语言,已远远不能满足各种交互式网页程序需要,所以ASP、ASPX、JSP、PHP等各种功能强大的网页语言相继出现。目前交互式网站功能越来越强大,但存在的安全漏洞也越来越多。 2.安全意识的缺乏 Web脚本攻击的认识不足,缺乏相应的安全意识,是造成各种Web脚本攻击不断出现的原因之一。由于许多网页设计者追求美工创意以及相关功能的实现,而忽略网站的安全性,造成设计出来的网站存在着安全漏洞。 专家课堂(常见问题与解答) 点拨1:要确保Web站点的安全,通常应采取哪些措施? 解答:Web攻击相对于其他网络攻击方式显得更隐蔽,也更难防范。有时问题并不出在用户身上,而是由于网站的问题。即使装了防火墙,也对跨站攻击无能为力,因此防范跨站攻击需要从网站方面和个人用户方面两方面入手。此外,用户在不同的地方使用不同的密码,即使黑客通过攻击获取cookie并破解出了密码原文,这样造成损失的也只是一个账户而已。 点拨2:黑客使用什么编程语言比较好? 解答:黑客使用的比较多的语言一般就是C和各种Unix脚本了(Shell, Perl等),多数黑客都使用Delphi编毒,Delphi在软件开发与控件上是比VB更加强大,但病毒基本不使控件,这样Delphi病毒多数以API函数来完成。 本章结束,谢谢观赏
文档评论(0)