版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、关于网络安全维护网站安全与维护第一张,PPT共二十一页,创作于2022年6月(1)常见网站漏洞常见漏洞如下XSS脚本跨站漏洞SQL注入漏洞SQL or=or 万能密码 漏洞这些常见的网站漏洞,几乎很多网站都存在,也许存在的 位置不同 没有发现,通常都是程序上的疏忽导致的。第二张,PPT共二十一页,创作于2022年6月(1-1)XSS漏洞-介绍跨站脚本攻击 恶意攻击者往 存在XSS 网站页面里插入恶意html代码,当用户浏览该页之时,嵌入其中的html代码会被执行,从而达到恶意攻击用户特殊目的。危害程度,可以跨站获取用户信息 或者 嵌入恶意代码可能导致植入木马注意: 此类 程序BUG漏洞也同样
2、也存在 其他 程序语言与数据库 如PHP JSP .ASPX 原理大同小异 区别很小第三张,PPT共二十一页,创作于2022年6月(1-2) XSS漏洞-分析1,此类网站漏洞,属于程序上的 过滤信息与数据不严谨 ,网站程序编写者 对于提交的表单信息 与 请求 没有做相对应的 过滤 与替换处理,就会存在XSS安全问题,XSS包含类型2,提交数据类型XSS 例如 留言本 论坛 提交信息时候产生的,3,地址参数型XSS 例如 动态GET请求所附带参数产生第四张,PPT共二十一页,创作于2022年6月(1-3) XSS漏洞-实测系统需求: windows2003环境: IIS6.0 ASP 基本环境
3、工具: 【存在XSS问题的 网站程序】,消息框提示XSS 代码 alert(我是黑客)alert(我是黑客)alert(document.cookie)document.write();第六张,PPT共二十一页,创作于2022年6月演示 XSS漏洞方法与 流程第七张,PPT共二十一页,创作于2022年6月(1-4) XSS漏洞-解决办法需要 网站程序设计者 检查修改 涉及 提交与信息发布的程序页面 ,并且做出过滤 与 替换处理例如 (单引号) js 脚本 等特殊字符串 进行过滤第八张,PPT共二十一页,创作于2022年6月第九张,PPT共二十一页,创作于2022年6月(2-1) SQL注入漏洞
4、-介绍SQL注入,就是通过把SQL命令 伪造成 Web表单提交 或 输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的 ,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照 程序设计者意图去执行SQL语句。这类SQL注入安全问题,通常是程序员,对提交的信息与数据没有做过滤处理与替换,导致供给可以提交有害的SQL语句并执行注意: 此类 程序BUG漏洞也同样 也存在 其他 程序语言与数据库 如PHP JSP .ASPX 原理大同小异 区别很小第十张,PP
5、T共二十一页,创作于2022年6月(2-2) SQL注入漏洞-实测系统需求: windows2003环境: IIS6.0 ASP 基本环境 工具: 【存在SQL注入漏洞的ASP或其他语言脚本的网站】【啊D注入工具】【或 明小子注入工具】第十一张,PPT共二十一页,创作于2022年6月(2-2-1) SQL注入猜密码-实测SQL注入漏洞是指 通过网站存在的SQL注入点 修改提交的信息 包含特定的SQL语句 ,实现的SQL注入过程漏洞检测语句 是否存在SQL漏洞 AND (1 = 1) AND (1 = 2) 正常流程执行语句Select * From news where id=1 注入修改漏洞
6、语句 判断注入存在与猜解作用Select * From news where id=1 AND (1 = 1) AND (1 = 2) 第十二张,PPT共二十一页,创作于2022年6月演示 猜解 方法与 流程第十三张,PPT共二十一页,创作于2022年6月(2-2-2) SQL注入提权-实测 与之前注入 区别 不是注入解密猜库语句而这个注入的是cmd SHELL语句 可以提权与进一步控制电脑用啊D扫描出注入点 复制注入点在CMD上传操作 执行相关注入。第十四张,PPT共二十一页,创作于2022年6月演示 SQL注入提权 方法与 流程第十五张,PPT共二十一页,创作于2022年6月(2-3) S
7、QL注入漏洞-解决办法工具软件解决办法:安装 安全狗 或其他同类产品,也可以杜绝此类安全漏洞程序解决办法:需要 网站程序设计者 检查修改 涉及 提交与信息发布的程序页面 ,并且做出过滤 与 替换处理例如(单引号) and select 进行特殊字符过滤第十六张,PPT共二十一页,创作于2022年6月第十七张,PPT共二十一页,创作于2022年6月(3-1) or 万能密码漏洞-介绍or 万能密码漏洞 也是程序上的SQL漏洞 属于程序员 开发时候留下的缺陷正常的验证查询语句 被黑客利用修改为 以单引号 及 OR 语句后 就改变了查询的意义,这样就会绕过验证。注意: 此类 程序BUG漏洞也同样 也存在 其他 程序语言与数据库 如PHP JSP .ASPX 原理大同小异 区别很小第十八张,PPT共二十一页,创作于2022年6月(3-2) or 万能密码漏洞-实测系统需求: windows2003环境: IIS6.0 ASP 基本环境 工具: 【存在SQL 漏洞的AS
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 人教版小学数学三年级-第六单元-口算乘法公开课教案教学设计课件公开课教案教学设计课件
- 现代气动与液压技术 课件 10.2 阀块钻孔加工系统的急停与复位功能实现
- 人教版数学二年级下册-02表内除法(一)-01除法的初步认识-课件03
- 苏教版小学数学一年级上册课件:《1~5的认识(想想做做)》教学课件
- 文化进校园方案
- 2024年浙教版小学四年级上学期期中数学试卷及解答参考
- 湖北省黄冈市高新区部分学校2024-2025学年上学期九年级第一次月考化学试题(解析版)
- 云南省昆明市(2024年-2025年小学四年级语文)人教版阶段练习((上下)学期)试卷及答案
- 甘肃省白银市(2024年-2025年小学四年级语文)人教版专题练习(下学期)试卷及答案
- 西藏拉萨市(2024年-2025年小学四年级语文)人教版期末考试(下学期)试卷及答案
- 无机及分析化学考试题(附答案)
- 可可脂巧克力课件
- 高一励志教育个人展示《我心仪的大学-深圳大学》
- 供水管网工程监理细则
- 无痛分娩的临床应用课件
- 2022年成都经开国投集团有限公司招聘笔试题库及答案解析
- 少儿美术课件- 儿童装饰画 9岁以上 《一叶知秋》
- 配电柜(箱)检查记录表
- 小学生-奖状-模板-样张-413
- 新概念英语第一册全册重点句型(英文+中文)
- 高中生物人教版高中必修3稳态与环境第5章生态系统及其稳定性教学设计:恢复生态学及其应用
评论
0/150
提交评论