• 网站漏洞检测及解决办法


    很多网站可能或多或少存在下面几个漏洞:SQL注入漏洞、跨站脚本攻击漏洞、登陆后台管理页面、IIS短文件/文件夹漏洞、系统敏感信息泄露。

    下面说下网站漏洞检测的步骤及内容方法:

    这些安全性测试,据了解一般是先收集数据,然后进行相关的渗透测试工作,获取到网站或者系统的一些敏感数据,从而可能达到控制或者破坏系统的目的。

    第一步是信息收集,收集如IP地址、DNS记录、软件版本信息、IP段等信息。可以采用方法有:

    1)基本网络信息获取;

    2)Ping目标网络得到IP地址和TTL等信息;

    3)Tcptraceroute和Traceroute 的结果;

    4)Whois结果;

    5)Netcraft获取目标可能存在的域名、Web及服务器信息;

    6)Curl获取目标Web基本信息;

    7)Nmap对网站进行端口扫描并判断操作系统类型;

    8)Google、Yahoo、Baidu等搜索引擎获取目标信息;

    9)FWtester 、Hping3 等工具进行防火墙规则探测;

    10)其他。

    第二步是进行渗透测试,根据前面获取到的数据,进一步获取网站敏感数据。此阶段如果成功的话,可能获得普通权限。采用方法会有有下面几种

    1)常规漏洞扫描和采用商用软件进行检查;

    2)结合使用ISS与Nessus等商用或免费的扫描工具进行漏洞扫描;

    3)采用SolarWinds对网络设备等进行搜索发现;

    4)采用Nikto、Webinspect等软件对Web常见漏洞进行扫描;

    5)采用如AppDetectiv之类的商用软件对数据库进行扫描分析;

    6)对Web和数据库应用进行分析;

    7)采用WebProxy、SPIKEProxy、Webscarab、ParosProxy、Absinthe等工具进行分析;

    8)用Ethereal抓包协助分析;

    9)用Webscan、Fuzzer进行SQL注入和XSS漏洞初步分析;

    10)手工检测SQL注入和XSS漏洞;

    11)采用类似OScanner的工具对数据库进行分析;

    12)基于通用设备、数据库、操作系统和应用的攻击;采用各种公开及私有的缓冲区溢出程序代码,也采用诸如MetasploitFramework 之类的利用程序集合。

    13)基于应用的攻击。基于Web、数据库或特定的B/S或C/S结构的网络应用程序存在的弱点进行攻击。

    14)口令猜解技术。进行口令猜解可以采用 X-Scan、Brutus、Hydra、溯雪等工具。

    第三步就是尝试由普通权限提升为管理员权限,获得对系统的完全控制权。在时间许可的情况下,必要时从第一阶段重新进行。采用方法

    1)口令嗅探与键盘记录。嗅探、键盘记录、木马等软件,功能简单,但要求不被防病毒软件发觉,因此通常需要自行开发或修改。

    2)口令破解。有许多著名的口令破解软件,如 L0phtCrack、John the Ripper、Cain 等

    以上一些是他们测试的步骤,不过我们不一定要关注这些过程性的东西,我们可能对他们反馈的结果更关注,因为可能会爆发很多安全漏洞等着我们去修复的。

    其它检测方法:

    1、用360网站安全联盟检测网站安全

    2、在搜索网站中搜索网站可能出现的错误代码:如检测网站天气预报15天查询网(http://15tianqi.cn),想要检测是否有错误代码,可以在百度中搜索 site:15tianqi.cn error,因为在代码中有个异常处理类,所有错误信息都会有个error这个词输出提示;

    这样可以在以后网站运营中很好的解决错误问题!

  • 相关阅读:
    和阿木聊Node.js
    C#开发攀爬集锦
    MyBatis实战
    对于技术的思考
    抛物线习题
    变量集中策略
    变换作图中的常用模板函数
    网上看到一题目的解法的启示
    函数习题
    新定义习题
  • 原文地址:https://www.cnblogs.com/auto6s/p/3699347.html
Copyright © 2020-2023  润新知