网络安全维护网站安全和维护

1、关于网络安全维护网站安全与维护第一张，PPT共二十一页，创作于2022年6月（1）常见网站漏洞常见漏洞如下XSS脚本跨站漏洞SQL注入漏洞SQL or=or 万能密码 漏洞这些常见的网站漏洞，几乎很多网站都存在，也许存在的 位置不同 没有发现，通常都是程序上的疏忽导致的。第二张，PPT共二十一页，创作于2022年6月（1-1）XSS漏洞-介绍跨站脚本攻击 恶意攻击者往 存在XSS 网站页面里插入恶意html代码，当用户浏览该页之时，嵌入其中的html代码会被执行，从而达到恶意攻击用户特殊目的。危害程度，可以跨站获取用户信息 或者 嵌入恶意代码可能导致植入木马注意: 此类 程序BUG漏洞也同样

2、也存在 其他 程序语言与数据库 如PHP JSP .ASPX 原理大同小异 区别很小第三张，PPT共二十一页，创作于2022年6月（1-2） XSS漏洞-分析1，此类网站漏洞，属于程序上的 过滤信息与数据不严谨 ,网站程序编写者 对于提交的表单信息 与 请求 没有做相对应的 过滤 与替换处理，就会存在XSS安全问题，XSS包含类型2,提交数据类型XSS 例如 留言本 论坛 提交信息时候产生的，3,地址参数型XSS 例如 动态GET请求所附带参数产生第四张，PPT共二十一页，创作于2022年6月（1-3） XSS漏洞-实测系统需求： windows2003环境: IIS6.0 ASP 基本环境

3、工具: 【存在XSS问题的 网站程序】，消息框提示XSS 代码 alert(我是黑客)alert(我是黑客)alert(document.cookie)document.write();第六张，PPT共二十一页，创作于2022年6月演示 XSS漏洞方法与 流程第七张，PPT共二十一页，创作于2022年6月（1-4） XSS漏洞-解决办法需要 网站程序设计者 检查修改 涉及 提交与信息发布的程序页面 ，并且做出过滤 与 替换处理例如 （单引号） js 脚本 等特殊字符串 进行过滤第八张，PPT共二十一页，创作于2022年6月第九张，PPT共二十一页，创作于2022年6月（2-1） SQL注入漏洞

4、-介绍SQL注入，就是通过把SQL命令 伪造成 Web表单提交 或 输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的 ，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照 程序设计者意图去执行SQL语句。这类SQL注入安全问题，通常是程序员，对提交的信息与数据没有做过滤处理与替换，导致供给可以提交有害的SQL语句并执行注意: 此类 程序BUG漏洞也同样 也存在 其他 程序语言与数据库 如PHP JSP .ASPX 原理大同小异 区别很小第十张，PP

5、T共二十一页，创作于2022年6月（2-2） SQL注入漏洞-实测系统需求： windows2003环境: IIS6.0 ASP 基本环境 工具: 【存在SQL注入漏洞的ASP或其他语言脚本的网站】【啊D注入工具】【或 明小子注入工具】第十一张，PPT共二十一页，创作于2022年6月（2-2-1） SQL注入猜密码-实测SQL注入漏洞是指 通过网站存在的SQL注入点 修改提交的信息 包含特定的SQL语句 ，实现的SQL注入过程漏洞检测语句 是否存在SQL漏洞 AND (1 = 1) AND (1 = 2) 正常流程执行语句Select * From news where id=1 注入修改漏洞

6、语句 判断注入存在与猜解作用Select * From news where id=1 AND (1 = 1) AND (1 = 2) 第十二张，PPT共二十一页，创作于2022年6月演示 猜解 方法与 流程第十三张，PPT共二十一页，创作于2022年6月（2-2-2） SQL注入提权-实测 与之前注入 区别 不是注入解密猜库语句而这个注入的是cmd SHELL语句 可以提权与进一步控制电脑用啊D扫描出注入点 复制注入点在CMD上传操作 执行相关注入。第十四张，PPT共二十一页，创作于2022年6月演示 SQL注入提权 方法与 流程第十五张，PPT共二十一页，创作于2022年6月（2-3） S

7、QL注入漏洞-解决办法工具软件解决办法：安装 安全狗 或其他同类产品，也可以杜绝此类安全漏洞程序解决办法：需要 网站程序设计者 检查修改 涉及 提交与信息发布的程序页面 ，并且做出过滤 与 替换处理例如(单引号) and select 进行特殊字符过滤第十六张，PPT共二十一页，创作于2022年6月第十七张，PPT共二十一页，创作于2022年6月（3-1） or 万能密码漏洞-介绍or 万能密码漏洞 也是程序上的SQL漏洞 属于程序员 开发时候留下的缺陷正常的验证查询语句 被黑客利用修改为 以单引号 及 OR 语句后 就改变了查询的意义，这样就会绕过验证。注意: 此类 程序BUG漏洞也同样 也存在 其他 程序语言与数据库 如PHP JSP .ASPX 原理大同小异 区别很小第十八张，PPT共二十一页，创作于2022年6月（3-2） or 万能密码漏洞-实测系统需求： windows2003环境: IIS6.0 ASP 基本环境 工具: 【存在SQL 漏洞的AS