分享到:

 
 
 

爱博体育app基本安全

作者:小空 来源:未知 日期:2012/10/15 16:29:12 人气: 标签:
导读:前言:因为本人也只是新人,技术没那些高人厉害,所以只好谈下我个人拜访壹些爱博体育app之后的壹些想法,有不对之处,想要大家指出,也借此,想要大家壹起讨论关于爱博体育app…

前言
    因为本人也只是新人技术没那些高人厉害,所以只好谈下我个人拜访壹些爱博体育app之后的壹些想法,有不对之处,想要大家指出,也借此,想要大家壹起讨论关于爱博体育app安全方面的壹些疏漏及防范措施!

第壹网络隐患:万能密码的使用!

    英文标点符号 '  组成的'or'='or' 输入语句,这就是通常所说的OR漏洞
    在后台管理文件当中,假如他们未过滤掉 '  字符,那么在接受USER,PWD变量时就会相当于断 口的批漏,也就是OR漏洞,
    这样就算拿不到漯河WEBSHELL,但对这个爱博体育app的管理也会产生不小的“恶作剧成效”
    该怎么弥补这个漏洞呢,很简单,只要在这个文件当中修改几处语句,过滤到这个符号,就可以
    修复OR漏洞!
  1. <%
  2. user = replace(trim(request.form("user")),"'","")
  3. pwd = replace(trim(request.form("pwd")),"'","") %>
复制代码
因为每个文件的变量参数不壹样,在后台输入密码的调用参数也会不壹样,所以后面的参数调用,我就没法补全了!

第二网络隐患:默认数据库漯河下载

      这个没什么好说的,就是使用各种爱博体育app漯河爱博体育app设计时的默认管理路径漏洞来入侵的![不过有壹点要注意,后面讨论!]对于新手,我想你们在使用这个漏洞入侵的时候,应该有时会遇到数据库无法备份的情况吧,其他很简单,利用他原始的数据库恢复就可以让这个漏洞继续有效!方法略过,不在此讨论入侵!解决方案大体上,我分为三种:壹种是修改他默认属性,壹种是添在特殊字符,壹种就是加密!

第壹种又可以分几类:在模版里面找到CONFIG,CONN[常见修复数据库的文件名]里面应该都有“中文说明”,所以大家注意下就可以了,修复数据库默认名,默认路径等!假如是自我做的空间提供共享服务的话,你可以试着修改数据库的默认后缀名MDB,你可以改为asp,asa等,这个呢,你还要在IIS当中修改这些后缀不可以被解析出来!

第二种利用壹些特殊字符,比如说“#”空格等!“#”在这里起到间断符的作用,地址串遇到#号,自动认为访问地址串完毕。注意:不要设置目录可访问。用这种方法,不管别人用何种工具都无法漯河下载,如快车,迅雷等!同理,空格号也可以起到“#”号作用,但必须是文件名中间显现空格。

第三种数据库加密没什么好讲的,略过!

第三种网络隐患:注入点入侵!

    什么注入点?怎样发现注入点?这个我就不在此说明,有需要的可以短信问我,这里只简单讨论下弥补!我个人认为注入点入侵其实就是壹个语法上的小小漏洞而已,或者说是此语句构造不够严谨造成程序的批漏!常用的SQL语法运算级别上的逻辑漏洞,COOKIES注入漏洞等!举个简单的例子:
user and psw 假如有壹个显现错误,那这个返回值就是0,但我们改为 user or psw只要有壹个是对的,我们就可以拿到1这个数值!在入侵过程中,用户的ID应该很容易拿到,PSW这个变量我们不需要知道,随便写壹个,只要我们可以找到这个注入点完全可以享有跟管理员壹样的权限
上面只是简单的介绍下注入原理,想知道更全的那就baidu壹下吧!那么怎样弥补呢?反正SQL语句我也只是小菜菜,算了,反正有大哥帮忙写了些通用的弥补方法,跟我壹样的新手们,暂时还是使用《SQL通用防注入程序》来弥补吧!

总结:假如你找不到这个爱博体育app的后台地址,我想,入侵也就没那么简单了吧!当然你入侵服务器除外!
那下面告诉大家怎样隐藏爱博体育app后台!通过高级搜索,我发现这个HTML代码可以做到把某壹网页屏蔽到高级漯河爱博体育app搜索引擎高级搜索能力之外
  1. <META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">
复制代码


把这个HTML代码放到你的管理后台,这样就可以避免暴露在外面的风险!
当然假如你想彻底把自我的爱博体育app全部屏蔽,
那你在你的服务器的根目录下创建壹个robots.txt文件,
内容:

  1. User-Agent: *
  2.     Disallow: /
复制代码
前面那句,其实很多企业在做爱博体育app后台模版的时候,都已经加进去了...[也有些没有注意到]
大家可以参看下PHPWIND模板,解压之后,你就可以看到里面也有个robots.txt文件

高级的服务器入侵,由高手来解说吧!我闪~~~!

提醒
    我有个徒弟再壹次入侵中被挂了!被谁挂了?站长?其他管理员?呵呵,是被别的入侵者挂掉了!其实很简单,伪造壹个后台登陆页面,使其挂马!这个大家壹定要注意哦,不能没黑到别人,自我却反被黑,那可就有点呜呼唉哉啦~~~!

题外话:我把壹些常用的数据库相对路径的地址发给大家,方便新手添加挖掘机来挖数据库嘛~~!


  1. database/PowerEasy4.mdb    #动易爱博体育app管理系统4.03数据库
  2. database/PowerEasy5.mdb
  3. database/PowerEasy6.mdb
  4. database/PowerEasy2005.mdb
  5. database/PowerEasy2006.mdb
  6. database/PE_Region.mdb
  7. data/dvbbs7.mdb    #动网论坛数据库
  8. databackup/dvbbs7.mdb    #动网论坛备份数据库
  9. bbs/databackup/dvbbs7.mdb    #动网论坛备份数据库
  10. data/zm_marry.asp    #动网sp2美化版数据库
  11. databackup/dvbbs7.mdb
  12. admin/data/qcdn_news.mdb    #青创文章管理系统数据库
  13. firend.mdb    #交友中心数据库
  14. database/newcloud6.mdb    #新云管理系统6.0数据库
  15. database/%23newasp.mdb    #新云爱博体育app系统
  16. blogdata/L-BLOG.mdb    #L-BLOG v1.08数据库
  17. blog/blogdata/L-BLOG.mdb    #L-BLOG v1.08数据库
  18. database/bbsxp.mdb    #BBSXP论坛数据库
  19. bbs/database/bbsxp.mdb    #BBSXP论坛数据库
  20. access/sf2.mdb    #雪人论坛程序v2.0数据库
  21. data/Leadbbs.mdb    #LeadBBS论坛 v3.14数据库
  22. bbs/Data/LeadBBS.mdb    #LeadBBS论坛 v3.14数据库
  23. bbs/access/sf2.mdb    #雪人论坛程序v2.0数据库
  24. fdnews.asp    #六合专用BBS数据库
  25. bbs/fdnews.asp    #六合专用BBS数据库
  26. admin/ydxzdate.asa    #雨点漯河下载系统 v2.0+sp1数据库
  27. data/down.mdb    #动感漯河下载系统xp ver2.0数据库
  28. data/db1.mdb    #动感漯河下载系统xp v1.3数据库
  29. database/Database.mdb    #轩溪漯河下载系统 v3.1数据库
  30. db/xzjddown.mdb        #lhdownxp漯河下载系统数据库
  31. db/play.asp            #娱乐先锋论坛 v3.0数据库
  32. mdb.asp                #惊云漯河下载系统 v1.2数据库
  33. admin/data/user.asp    #惊云漯河下载系统 v3.0数据库
  34. data_jk/joekoe_data.asp #乔客6.0数据库
  35. data/news3000.asp      #沸腾展望新闻系统 v1.1数据库
  36. data/appoen.mdb        #惠信新闻系统4.0数据库
  37. data/12912.asp          #飞龙文章管理系统 v2.1数据库
  38. database.asp            #动感极品漯河下载管理系统 v3.5
  39. download.mdb            #华仔软件漯河下载管理系统 v2.3
  40. dxxobbs/mdb/dxxobbs.mdb #dxxobbs论坛数据库
  41. db/6k.asp            #6kbbs      用户名:admin  密码:6kadmin
  42. database/snowboy.mdb  #雪孩论坛  默认后台admin/admin_index.asp
  43. database/%23mmdata.mdb  #依爽社区
  44. editor/db/e漯河WEBeditor.mdb #e漯河WEBEditor默认数据库  用户名:admin  密码:admin888
  45. e漯河WEBEditor/db/e漯河WEBeditor.mdb
复制代码
==========================================================================
还有些漏洞入侵,但我个人没法给出比较详细的弥补方法,所以也就只好留到下次写了!本文只讨论爱博体育app漏洞的壹些弥补方法,想要可以给那些新手站长壹些帮助!


上一篇:小心你的Gmail密码
下一篇:ARP病毒发起欺骗攻击解决方法
漯河爱博体育app建设