培训-网络攻击与防范技术.pptVIP

数据库注入的软件很多，常用的是hwis扫描存在注入点，用wsi来实施注入的 Usage: hwsi Page MaxThread 如:hwis 10 如果扫描网址为，那么扫描的外部链接为只包含的链接，先对网站进行爬行，然后提取出带参数提交的链接，然后进行GET，POST，Cookie三种方式的注入分析，存在注入点的，显示成红色。 注入操作： wsi /i /index.asp?id=1 /m cpp [-i is injection url to exploit] 常用黑客软件 2 跨站攻击是指入侵者在远程Web页面的HTML代码中插入具有恶意目的的数据，使得用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。 跨站攻击可能在真实网站上插入一段文字，也可能是偷取浏览者cookie信息的脚本（原理），更有甚者是植入一段利用IE漏洞的网页木马代码。这种方法实现起来简单容易。 常用的跨站攻击工具有很多，如XSS Shell。它通过web方式执行应用。 常用黑客软件 3 Windows入侵检测 及早发现系统异常 检查后门程序 查看日志分析入侵情况 恢复系统以及应用 及早发现系统异常 系统重新启动 系统日志记录 系统运行时间 网络连接时间 系统资源减少 进程占用大量CPU时间 进程消耗大量物理内存 磁盘空间减少 网络流量异常 发送或接收大量SYN数据包 发送或接收大量ICMP数据包 其他流量（如BT协议流量，FTP协议流量） 安全产品 入侵检测 防火墙 其他 其他途径 其他管理员的询问 残缺日志 用户及网络状态检查 检查系统用户 Net user查看用户列表 Net localgroup administrators查看管理员组用户列表 开始→程序→管理工具→计算机管理→本地用户和组 端口列表 Netstat –an查看端口列表 端口关联进程列表 Fport查看关联列表 服务,进程,计划任务检查 服务列表 Net start查看启动服务 SC查看服务详细信息 开始→程序→管理工具→服务 进程列表 任务管理器查看进程 PsList查看进程 计划任务列表 使用at命令查看(windows平台) 注册表检查 注册表启动项目 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policiees\Run windows查看遗留痕迹 IE临时文件 访问过的网页 Documents and Settings\帐号\Local Settings\Temporary Internet Files 访问地址记录 记录访问过的网址和本地地址 按日期排列 Documents and Settings\帐号\Local Settings\History 使用文件记录 打开过的文档 Documents and Settings\帐号\Recent windows查看遗留痕迹 cookie记录 访问过的网址 使用过的帐户 Documents and Settings\帐号\cookie 该文件夹下有个隐藏文件info是个二进制文件，保存了被删文件的真实文件名，时间/日期到RECYCLER目录的映射,可以使用EnCase,Internet Explorer History Viewer等软件查看该文件。 windows查看遗留痕迹 注册表 曾经存在的帐户 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 曾经安装过的软件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall 检查交换文件 HKLM\System\CurrentControlSet\Control\Session Management\ClearPageFileAtShutdown 社会工程学 贯穿在入侵的整个过程内 ?欺骗的艺术? 社会工程学的关键─信任 渗透对象的选择很关键 总结 互联网还是很不安全的…… 没有Unb