提到漏洞,用户可能会想到操作系统和应用软件,其实网页中也存在漏洞,这些漏洞同样可以被黑客抓住并实施入侵,黑客一旦掌握了网页中存在的漏洞,就会采取各种手段发起攻击,例如在网页中植入木马或者获取网页管理员账户密码等,因此用户不仅要掌握常见的网站漏洞,还需要了解黑客是如何获取网站管理员账户密码的。
A 常见的网站漏洞有上传漏洞、暴库、注入、旁注和COOKIE诈骗五种。
漏洞不仅仅是操作系统和应用软件才有的,Internet中的不少网站同样存在漏洞,黑客可以利用这些漏洞在网页中植入木马、病毒或恶意代码,一旦用户打开或浏览这些网页,计算机就会遭到入侵,常见的网站漏洞有上传漏洞、暴库、注入、旁注和Cookies诈骗。
上传漏洞
该漏洞以前被黑客们广泛利用以获取Webshell,危害等级超高。如果在浏览器地址栏中的网址后加上/upfile.asp,若显示“上传格式不正确”或“重新上传”这样的字样,则很有可能就是有上传漏洞了,找个可以上传的工具直接可以得到Webshell。
WebShell
WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做是一种网页后门。黑客在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器Web目录下正常的网页文件混在一起,完成后就可以使用浏览器来访问这些asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的,可以上传下载文件,查看数据库,执行任意程序命令等。
暴库
暴库是指攻击者通过向网站提交字符得到数据库文件后,直接获取该网站站点的前/后台权限。
注入
该漏洞是现在应用最广泛,杀伤力也很大的漏洞。注入漏洞是由于字符过滤不严禁所造成的,可以利用注入漏洞得到管理员的账号密码等相关资料。
旁注
攻击者无法直接入侵比较坚固的网站时,可能就会找出和这个网站同一服务器的站点,然后通过该站点用提权、嗅探等方法来入侵前面较坚固的网站。例如A和B是住在一个楼的,A家很安全,而B家却漏洞百出,现在有个贼想进入A家,他对A家做了监视(扫描),发现没有什么可以利用的东西,但是这个贼发现B家和A家一个楼,而B家很容易就能进去,因此贼会先进入B家,然后通过B家得到整个楼的钥匙(系统权限),这样就自然得到A家的钥匙了,就可以进入A家(网站)了。
Cookies诈骗
Cookies就是指将自己电脑的ID和MD5密码(MD5是加密后的一个16位的密码)更换成某个网站管理员的ID和MD5密码,让系统误以为自己是管理员,从而获取管理权限。
Cookies
Cookies一词用在程序设计中是指一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。当用户浏览某网站时,由Web服务器置于电脑硬盘上的一个非常小的文本文件,它可以记录用户的用户ID、密码、浏览过的网页、停留的时间等信息。当用户再次来到该网站时,网站通过读取Cookies,得知用户的相关信息,就可以做出相应的动作,如在页面显示欢迎你的标语,或者让用户不用输入ID、密码就直接登录等。