近年来,越来越多的中小型站长如雨后春笋般的冒了出来。网站的安全性就变得越来越严重。例如今年Struts2的一个漏洞,就连大型银行,电商,支付等领域的拔尖企业都受到冲击,更何况小小的个人站点。因此我们很有必要了解了解网站常见的漏洞安全知识,特意为大家准备了此篇文章。
网站比较常见的低级漏洞有:1.SQL注入漏洞;2.XSS跨站脚本攻击漏洞;3.文件上传漏洞;4.目录遍历漏洞;5.admin密码漏洞;6.权限审阅漏洞。
一、SQL注入漏洞。
此类漏洞是人人皆知的漏洞,黑客可以利用该漏洞得到管理员的账号和密码,或者直接控制服务器。该漏洞目前在小型网站还比较多,尤其是学校网站里学生建设的一些网站。入侵此类漏洞只需要用一些SQl注入工具即可,这里推荐用:国产的SSQLInjection(直接秒杀什么webcruiser、Safe3SI、pangolin、havij、DSQLTools、明小子等)注入工具,网上也有使用教程,用这个工具菜鸟也能拿下几个网站。关于防止SQL注入我就不说了,网上的教程很详细。
推荐教程:http://www.shack2.org/article/1417357815.html
二、XSS跨站脚本攻击漏洞。
XSS又叫CSS(Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当其它用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。传统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对“JavaScript”这个关键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS攻击。这种检测方法的缺陷显而易见:骇客可以通过插入字符或完全编码的方式躲避检测。基于代码修改的防御,对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。
比如在某网站的评论中输入<script>alert(document.cookie)</script>提交后,刷新页面,就弹出了cookie数据。
三、文件上传漏洞。
现在好多网站都支持会员注册,并且支持上传头像,或者上传其他文件,那么我们就可以利用这个特点上传一个webshell。该漏洞主要是对上传的文件格式要求不严造成的,目前此漏洞已经不常见,但是也有。只要严格审查上传的文件格式就可以防止该漏洞。
四、目录遍历漏洞。
这个漏洞不常见,但是也是有的,该漏洞允许浏览者直接在浏览器里浏览和下载网站的文件,导致网站结构,网站文件,甚至数据库轻易的被黑客搞到。造成此类漏洞的原因是服务器管理员的疏忽。该漏洞入侵主要是得到数据库的地址,用下载工具下载,并得到管理员账号。防止漏洞的方法就是服务器管理员取消网站目录遍历的权限。
五、admin密码漏洞。
很多网站建设者都喜欢把默认管理员账号设成asmin,密码一般是admin、123456、111111等比较常见的密码。但是很多管理员并不去修改密码,下次你看见登陆页面时不妨试试,有可能就能登陆上去。防止这种漏洞方法就是及时修改密码,把密码设的难一些。
六、权限审阅漏洞。
我们知道一般人是不允许访问管理员操作页面的,于是有写网站就把管理员页面的连接去掉,只有知道连接的人才能进入页面,但是现在网上有很多工具能检查到你的管理员页面,直接用浏览器打开,奇迹出现了,没有提示让输入密码,直接可以操作了。这就是权限审阅的漏洞。这个漏洞也是我认为最低级的漏洞,造成这样漏洞的原因是网站建设者的疏忽,或者是水平不高造成的。当然这个漏洞不多见,但是绝对有,我见多好几个了。防止该漏洞就方法就是进入管理员页面时要检查是不是管理员的权限。
其他的漏洞还有很多,比如session被构造欺骗、URL地址栏欺骗、扩展插件攻击、绕过浏览器安全策略等.加强网络安全意识,创造更高的价值。
版权声明:本文为博主原创文章,未经博主允许不得转载。
: » 网站常见漏洞攻防进阶
原创文章,作者:306829225,如若转载,请注明出处:https://blog.ytso.com/252470.html