日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

防范腳本入侵

云知道

【防范腳本入侵】作為網絡管理員,不少朋友也同時負責單位的網站開發(fā)維護的工作,對于WEB開發(fā)我想大家都比較精通,可是對如何編寫安全的腳本代碼和入侵者如何通過WEB方式對服務器進行滲透的,可能就不是很清楚了,有不少朋友錯誤的認為我的服務器有硬件防火墻,而且只開了80端口,是不會有網絡安全問題的 。下面我就向大家介紹幾種比較常見的腳本攻擊的方法,讓大家從中能夠找到安全防護的方法,從而提高服務器的安全性 。;
1.;簡單的腳本攻擊;
此類攻擊是由于WEB程序編寫上對特殊字符過濾不嚴密所造成的,雖說不能對服務器的安全造成嚴重威脅,可是卻可以使入侵者發(fā)布含有HTML語句的惡意代碼,擾亂網站秩序,從而對網站產生不良影響 。下面給大家舉個例子:某網站在進行用戶注冊時,沒有對特殊字符進行過濾,就有可能被無聊者利用,假設論壇的管理員ID為:webmaster,那就有可能有人在注冊用戶名時注冊成;webmaster;,盡管ID有區(qū)別,可是在頁面顯示卻是一樣的,如果無聊者把其他的信息改的和webmaster一樣,那別人就很難區(qū)分這兩個ID哪個是真的哪個是假的 。有不少網站有自己開發(fā)的留言板,而且支持提交HTML留言,這就給破壞者提供了機會,他們可以寫一個自動彈出窗口并打開一個帶木馬的網頁的代碼,這樣別人在瀏覽這條留言時就有可能被種下木馬 。防范方法很簡單,加個過濾函數就可以了:;
〈%;
function;SqlCheck(fString);
;fString;=;Replace(fString,;"’","");
;fString;=;Replace(fString,;";","");
;fString;=;Replace(fString,;";","");
;fString;=;Replace(fString,;"--","");
;fString;=;Replace(fString,;",","");
;fString;=;Replace(fString,;"(","");
;fString;=;Replace(fString,;")","");
;fString;=;Replace(fString,;"=","");
;fString;=;Replace(fString,;"%","");
;fString;=;Replace(fString,;"*","");
;fString;=;Replace(fString,;"<","");
;fString;=;Replace(fString,;">","");
;SqlCheck;=;fString;
end;function;
%〉;
以上過濾函數中的String;=;Replace(fString,;"<","");fString;=;Replace(fString,;">","")可以去掉語句中的“<”和“>”符號,使HTML代碼無法運行 。;
2.;Sql;Injection;漏洞攻擊;
也叫Sql注入攻擊,是目前比較常見的一種WEB攻擊方法,它利用了通過構造特殊的SQL語句,而對數據庫進行跨表查詢的攻擊,通過這種方式很容易使入侵者得到一個WebShell,然后利用這個WebShell做進一步的滲透,直至得到系統(tǒng)的管理權限,所以這種攻擊方式危害很大 。建議大家使用NBSI,小榕的WED WIS等注入工具對自己的網站掃描一下,看是否存在此漏洞 。還有一種比較特殊的Sql注入漏洞,之所以說比較特殊,是因為它是通過構造特殊的SQL語句,來欺騙鑒別用戶身份代碼的,比如入侵者找到后臺管理入口后,在管理員用戶名和密碼輸入“’or;’1’=’1’”、“’or’’=’”、“’);or;(’a’=’a”、“";or;"a"="a”、“’;or;’a’=’a”、“’;or;1=1--”等這類字符串(不包含引號),提交,就有可能直接進入后臺管理界面,由此也可以看出對特殊字符進行過濾是多么的重要 。還有一點要注意,一定不要讓別人知道網站的后臺管理頁面地址,除了因為上面的原因外,這也可以防止入侵者通過暴力破解后臺管理員用戶名和密碼等方法進入后臺管理 。這類攻擊的防范方法除了加上面提到的過濾函數外,還要屏蔽網站的錯誤信息,同時也需要配置好IIS的執(zhí)行權限,以前的雜志也詳細介紹過防范方法,在這里不做詳細說明 。;
3.對整站系統(tǒng)和論壇的攻擊;
不少網站使用一些比如動易,喬客,動網,BBSXP等知名度高,功能強大的系統(tǒng)和論壇,由于這些系統(tǒng)的功能強大,所以不可避免的就帶來了不小的安全風險 。因為可以從網上直接得到這些系統(tǒng)的代碼,再加上使用這些系統(tǒng)的網站比較多,所以研究這些系統(tǒng)漏洞的人也就很多,我們也就經常會在網上可以看到某某系統(tǒng)又出最新漏洞的文章,建議大家經常不定期的去這些系統(tǒng)的官方網站下載最新的補丁 。;

推薦閱讀