首页 » 技术文章 » 浏览内容

ASP注入漏洞与处理意见

656 0 发表评论

手工注入也就是非使用工具的提前下来进行对存在注入漏洞的网站进行数据库的猜解.

1. 什么是注入漏洞

用一句话理解就是 “注入漏洞是因为字符过滤不严谨所造成的,可以得到管理员的帐号密码等相关资料。”

如果想深入了解什么是注入漏洞可以参考百度百科的解释  http://baike.baidu.com/view/677614.htm

2.注入漏洞的危害性

当我们发现了一个网站存在了注入漏洞,就可以对网站提交一些特定的代码字符来获取网站数据库的一些敏感信息,比如:网站管理员的账户、密码 

网站注册会员的一些个人资料等等。 一般都入侵者都是直接猜解网站管理员的帐号密码从而通过进入后台来达到进一步的入侵。

所以网站存在注入漏洞危险性还是很高的。可是即便如此这一主流漏洞,还是在网络上大批量的存在的。

3.学习手工有什么意义

现在网络上有很多主流的注入工具,比如、明小子、阿D、穿山甲、御剑 等等、、比较出色的注入工具为什么还要学习手工注入呢?

工具是死的人死活的。在很多时候手工往往比工具更为精确,而且是可可扩展性的。不懂的漏洞的原理,灵活的运行漏洞。

只能依赖于工具的那,那你永远只是门外汉。

4.如何来实现网站的手工注入

  1. 首先要明白我们检测的网站是否是ASP的网站程序,(注入漏洞只针对于动态网站)
  2. 确定网站程序以后判断网站是否存在注入漏洞 判定方法,例如目标地址是:http://127.0.0.1/tipsview.asp?id=9 网站的后面加上 and 1=1 正确 and 1=2 错误说明 网站存在注入点。
  3. 猜表名 and (select count(*) from 表名)>0 一些常见的表面 admin user sysadmin users 等、
    猜列名 and (select count(列名) from 表名)>0 一些常见的列名 admin  pass  username password
    猜长度 and (select top 1 len(username) from admin)>5  这句话的意思是猜解 列名 username 的长度大于5 如说大于5返回正常 大于7返回错那就说明列名username的长度为6位 猜解username对应的password方法也是一样。
  4. 猜内容  and (select top 1 asc(mid(password,1,1)) from admin)>50
  5. 猜解出来以后的密码一般都是16位或者21的MD5加密的 需要去www.cmd5.com 解密

5.修补网站存在的注入漏洞

想要彻底修补网站存在的注入漏洞的话没有专业的web大师几乎是不可能实现的。有时候不是没有注入漏洞 只是自己没有发现而已。

尽管不能彻底修复注入漏洞但是可是有办法防止别人通过注入漏洞来对我们的网站实施入侵的。

  1. 修改网站的后台地址(很多2B的网站管理员下载的整套的网站管理程序就懒得修改后台地址或者说数据库的默认路径,这样只要别人也下载了相同的网站程序来进行分析处理 只需要几分钟就能把网站入侵了。)
  2. 将网站进行”静态化”或”伪静态化”处理 这样能有效的防止注入漏洞、
  3. 服务器安装安全狗,安全狗很有效的拦截入侵者的注入猜解,而且还能查杀大多数的网页木马
  4. 修改数据库中储存管理员帐号密码的默认表面名字 、 将网站后台的密码设置越复杂越好。

总之一句话, 有攻亦有防,很多站长要理性的看待某些”不速之客”, 只有这样循序渐渐才能更多的发现网站的不足然后加以处理。

标签:

评论 共 0 条 (RSS 2.0) 发表 评论

  1. 暂无评论,快来抢沙发!

发表评论

  •   没有头像?

关注我们,实时联系

通知公告">更多...

♥如果喜欢本站可以直接点击订阅博客
♥点击此加入晓残博客会员群加入扣群
♥本站免费提供加密解密服务点击解密
♥伙伴们喜欢本站赏个好评呗

关注微信

有偿服务

博客统计

  • 日志总数:478 篇
  • 评论数目:1481 条
  • 标签总数:40 个
  • 页面总数:8 个
  • 分类总数:17 个
  • 友链总数:25 个
  • 建站日期:2011-02-13
  • 运行天数:2127 天
  • 最后更新:2016-12-9

订阅博客