频道栏目
首页 > 安全 > 网站安全 > 正文

浅析网站安全攻防

2007-12-30 09:16:17      个评论      
收藏   我要投稿
IT168 专稿】目前中国互联网安全事件层出不穷,每天都有众多网站被黑客入侵破坏。为了提高网站管理者的攻防能力,前不久由IT168网络安全频道、IXPUB.Net技术论坛主办,北京华安普特网络科技有限公司协办的“IT168网络安全大奖赛”正式开幕。本次大奖赛通过搭建真实环境,在专有服务器上模拟类似安全问题,让网友进行攻防演练,从而达到提高网站管理者的攻防能力和安全意识的目的。大赛同时向广大网友征集相关安全问题解决方案。作为一名网站管理者和网络安全爱好者,我个人认为此次活动出发点非常好,而且模拟网站搭建的也很有学问,既不是漏洞百出、不堪一击,也不是象众多网友所说的“很BT”、“数据库连读写权限都没有”,模拟网站设计者还是在网站的一些地方留下了一些致命的漏洞,但要找到这些漏洞也并非易事,需要我们不停的尝试,整个入侵过程就如同我们看美剧“越狱”一样,永远不知道接下来会遇到什么困难。下面我们就结合http://down.ixpub.net/safe/wmv/hackgame_001.wmv这段视频,讲解一下入侵者是如何得到模拟网站的WebShell权限,以及网站管理者该如何防范黑客入侵。

    入侵者首先使用SQL注入工具“啊D”对网站进行了扫描,通过得到的注入点,获得了经过MD5加密的网站后台管理员用户名和密码,经过解密得到了明文的管理员用户名和密码,然后登录后台管理程序,上传一句话木马,得到WebShell权限(如图1所示),找到指定的文件。

\

图1

相关TAG标签 网站
上一篇:专家谈:教你如何识破钓鱼网站的行骗手段
下一篇:Orkut XSS Worm的技术分析
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站