| 说到入侵网站,最常见的就漏洞注入攻击了,很多网站都具有这样的漏洞。注入漏洞也是最有效也是最简单的入侵网站的途径。网络安全就是网络攻防的一个过程,知道如何攻的才能知道如何防守。下面笔者就自己的亲身经历给大家介绍一下网站漏洞注入攻击。
先说一下一般的步骤:
首先,寻找注入点,判断数据库类型。
分别用下面三中方法测试,看看上面三个网址返回的结果。
(1)http://www.xxx.com/1.asp?id=1
(2)http://www.xxx.com/1.asp?id=1 and 1=1
(3)http://www.xxx.com/1.asp?id=1 and 1=2
可以注入的表现:
(1)正常显示(这是必然的,不然就是程序有错误了)
(2)正常显示,内容基本与(1)相同
(3)提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resume next)
不可以注入就比较容易判断了,(1)同样正常显示,(2)和(3)一般都会有程序定义的错误提示,或提示类型转换时出错。
说到入侵网站,最常见的就漏洞注入攻击了,很多网站都具有这样的漏洞。注入漏洞也是最有效也是最简单的入侵网站的途径。网络安全就是网络攻防的一个过程,知道如何攻的才能知道如何防守。下面笔者就自己的亲身经历给大家介绍一下网站漏洞注入攻击。
先说一下一般的步骤:
首先,寻找注入点,判断数据库类型。
分别用下面三中方法测试,看看上面三个网址返回的结果。
(1)http://www.xxx.com/1.asp?id=1
(2)http://www.xxx.com/1.asp?id=1 and 1=1
(3)http://www.xxx.com/1.asp?id=1 and 1=2
可以注入的表现:
(1)正常显示(这是必然的,不然就是程序有错误了)
(2)正常显示,内容基本与(1)相同
(3)提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resume next)
不可以注入就比较容易判断了,(1)同样正常显示,(2)和(3)一般都会有程序定义的错误提示,或提示类型转换时出错。
|
