gggweb应用攻击技术.pptVIP

* 接下来介绍的，是利用系统或者应用程序的返回代码进行攻击的漏洞。 * 如请求不存在的文件，造成服务器返回整个Web网站的目录结构（IIS或者Apache开放了Index参数），不断尝试猜测用户名，利用错误的请求暴露数据库路径等。 * 如请求不存在的文件，造成服务器返回整个Web网站的目录结构（IIS或者Apache开放了Index参数），不断尝试猜测用户名，利用错误的请求暴露数据库路径等。 * * * * 还有一种针对网站的攻击，利用的是访问控制错误漏洞。Hacker利用此漏洞上传或者下载特殊文件以达到攻击、入侵目的。 * 比如利用上传文件的漏洞，上传自己编写的攻击脚本；利用下载漏洞获得敏感信息；利用常见的方式，如admin目录，manage目录易猜测的后台管理地址来获得管理权限。 * 现在很多攻击都是针对windows的IIS+ASP+SQLserver，那么其他平台是否安全呢？实际上安全没有100%，微软的平台之所以被攻击得多，是因为用的人多，研究它的人也就多。当Linux，Freebsd等Unix系统的逐渐流行，对这些系统的研究和攻击也越来越多，越来越快。 这里就介绍一个对PHP脚本的特有攻击。 * 以上为问题PHP脚本，该脚本的本意是，当pass变量（通常为密码），为“hello”的时候，将auth变量设置为1；当auth变量为1的时候，用户能获得“important i