浅谈黑客入侵网站的攻防策略.docVIP

浅谈黑客入侵网站的攻防策略 　　摘要：随着计算机网络的迅猛发展，上网用户的逐年增加，网站的浏览与访问已成为当今网民娱乐休闲的主流，相应的针对黑客入侵网站的攻防技术问题也成为了社会关注的焦点。该文就目前黑客入侵网站的思路进行了简要的分析，并提出了部分可行的解决方案。 　　关键词：黑客；网站入侵；木马；解决方案 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2010)20-5459-02 　　Shallowly Discusses Hacking And Defense Policies of The Web Site 　　CHEN Wan, WANG Shu-xia; ZHU Si-zhi, SUN Huan-sheng, WU Jiang 　　(School of Computer and Information Science, Xiaogan University, Xiaogan 432000, China) 　　Abstract: With the rapid development of computer networks, Internet users increases every year, Web browsing and access to recreation and leisure has become the mainstream Internet users, the corresponding site of the attack and defense against hackers technical problems become the focus of attention. In this paper, website hacking attacks on the current thinking was analyzed, and some possible solutions. 　　Key words: hacker; web intrusion; trojan; solutions 　　随着网络的普及，越来越多与我们的生活息息相关的信息包括信息处理与保存都离不开网络，而网站就成为了各种信息存储与传递的载体。但是由于不少网民或网站管理员缺乏对信息安全和网站安全的认知，随意地处理个人的重要数据资料，由此使得网站的安全问题变得复杂化同时也给黑客攻击和网站入侵提供了有利条件。因此了解黑客知识，关注网络安全是每一位网民保护个人财产不受侵害的必修课。 　　1 常见的黑客入侵网站的方式及防范措施 　　如今人们通过浏览器可以搜索到各种各样的网站，但是不少人在浏览网页时不经意间或者是按错了某个键，浏览器返回的网页就会报出错误，更有可能会出现网站在服务器上的存储路径，或者是管理员后台登陆管理的账号密码。为什么会出现这样的现象呢，黑客是如何利用这一现象来达到入侵的目的的呢？下面我来为大家简略的介绍一下黑客入侵网站常用的方法以及一些基本的防范措施。 　　1.1 注入 　　现在的网络中，脚本入侵十分的流行，而脚本注入漏洞更是风靡黑客界。不管是老手还是新手，都会为它那巨大的威力和灵活多变的招式所着迷！随着注入攻击的流行，使得市面上的注入工具层出不穷！比较出名的有小竹的NBSI、教主的HDSI和啊D的注入工具等等！但是仅仅依靠注入工具是远远不够的，在动态网页中还必须存在注入漏洞，动态页面包括asp、php、jsp、cgi等。就asp页面而言，当网页地址尾部出现“asp？id=”这样的字眼时表示该页面是调用数据库的页面。“？”后面加的id和“=”后面的值都是可变的。当在该页面数值后面加上and 1=1回车返回正常页面，再尝试在数值后面加上and 1=2 回车返回的页面出错时，这就说明该网页存在注入点，若以上两次尝试都返回错误我们可以尝试在后面加上and 1 = 1回车若返回正常值则可以换成and 1 = 2回车返回错误也可以证明该网页存在注入漏洞，当知道网站存在注入点后可以使用工具注入也可以使用and exists （select * from 表）手工注入猜表，返回正常，说明表名存在，错误则不存在。当网站的表被管理员修改了无从下手时可以在页面中找图片的属性，有时管理员的表名在图片属性中可以找到。找到表名后接着判断字段长度，在地址栏后面加上order by数字。例如：order by 10若网页返回正常则加大数字的大小，直到返回错误，字段的长度则是返回错误值减一。检测列名的位置，例如表名为admin字段长度为6，使用and 1=2 union select 1，2，3，4，5，6 from admin，找出列名和密码的位置，最后经过MD5解密可以得到后台管理员密码