详解******Web服务器的常用八种方式
2011-11-04 13:42
232 查看
服务器一般都很容易成为***们的***对象,本文向广大的网管员们介绍了***们常用的八种******方式,供大家参考!
一、WEB服务器面临威胁
在了解WEB服务器的安全状况之前,首先要让大家了解网站安全的另一面——******。97至98年互联网开始在中国兴起之时,***就已经诞生了,在98年印尼排华事件中,中国***对印尼ZF网站的打击行动通过媒体的渲染,让***一词进入了广大中国网民的眼帘。随着几次***大战的爆发以及媒体对***的渲染,让更多人加入了***这个队伍。那么***都是通过怎样的技术手段实施***的呢?97年到2002年以来,除了比较有名的UNICODE漏洞之外,***们大部分都是利用系统的各种溢出漏洞来实施***,包括像ipc共享空连接漏洞,ida/idq,printer漏洞,rpc漏洞等等。2003年,中国互联网开始从01年的互联网寒冬逐渐走向复苏,盛大、分众传媒、空中网等一系列IT企业分别在纳斯达克上市成功更进一步激起了更多IT从业人员开始开设网站和成立IT公司,梦想有一日能上纳斯达克拿美国股民的钱。网站数量的激增以及大家对网络安全的轻视,导致通过WEB的各种漏洞来进行***的事件越来越多。SQL注入漏洞随着***高手们一次又一次地使用在拿国内外游戏数据库和游戏网站的权限,并高价卖出,买车买房子之时,SQL注入以及相关技术在***的群体中普及开来。***们在比尔.盖茨先生弥补了大部分系统漏洞之后,开始转移方向,发现基于网站的各种脚本漏洞能非常轻易的使用, 而且能够通过提权来获取系统权限。于是,基于web的脚本漏洞成功***们的最爱。随后流氓软件开始在中国的互联网大地上盛行了起来,互联网的网站应用领域的******技术开始流行了起来。最典型的就是***的网站挂马技术,这种技术就是利用网站的漏洞建立或者上传一个ASP***的方式来获取网站的WEBSHELL权限,然后通过WEBSHELL权限通过提权获取系统权限,再接着就是在服务器的网站里面加入一些恶意的脚本代码,让你的电脑在访问网站的时候,不知不觉的中病毒和***程序,最后你电脑里面的重要资料,QQ号,网络游戏帐号,网上银行帐户里面的现金都会不翼而飞。 据专业权威机构统计,02年中国境内网站被***的比例不到10%,而到了06年,中国境内网站被***的比例是85%。***技术的普及化以及巨大商业利益的窃取网上银行的资金,QQ号码倒卖,网络游戏装备和帐号的倒卖等地下***产业链的形成是导致网站遭遇安全事件的主因。
二、WEB的各种***手段
1、SQL注入漏洞的***
这种是ASP+ACCESS的网站***方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP***上传上去,获得一个网站的WEBSHELL。
2、ASP上传漏洞的利用
这种技术方式是利用一些网站的ASP上传功能来上传ASP***的一种***方式,不少网站都限制了上传文件的类型,一般来说ASP为后缀的文件都不允许上传,但是这种限制是可以被***突破的,***可以采取COOKIE欺骗的方式来上传ASP***,获得网站的WEBSHELL权限。
3、后台数据库备份方式获得WEBSHELL
这个主要是利用网站后台对ACCESS数据库进行数据库备份和恢复的功能,备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成ASP,那么利用网站上传的功能上传一个文件名改成JPG或者GIF后缀的ASP***,然后用这个恢复库备份和恢复的功能把这个***恢复成ASP文件,从而达到能够获取网站WEBSHELL控制权限的目的。
4、网站旁注***
这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站实施***,拿到权限之后转而控制服务器的其它网站。
5、sa注入点利用的***技术
这种是ASP+MSSQL网站的***方式,找到有SA权限的SQL注入点,然后用SQL数据库的XP_CMDSHELL的存储扩展来运行系统命令建立系统级别的帐号,然后通过3389登录进去,或者在一台肉鸡上用NC开设一个监听端口,然后用VBS一句话***下载一个NC到服务器里面,接着运行NC的反向连接命令,让服务器反向连接到远程肉鸡上,这样远程肉鸡就有了一个远程的系统管理员级别的控制权限。
6、sa弱密码的***技术
这种方式是用扫描器探测SQL的帐号和密码信息的方式拿到SA的密码,然后用SQLEXEC之类的工具通过1433端口连接到远程服务器上,然后开设系统帐号,通过3389登录。然后这种***方式还可以配合WEBSHELL来使用,一般的ASP+MSSQL网站通常会把MSSQL的连接密码写到一个配置文件当中,这个可以用WEBSHELL来读取配置文件里面的SA密码,然后可以上传一个SQL***的方式来获取系统的控制权限。
7、提交一句话***的***方式
这种技术方式是对一些数据库地址被改成asp文件的网站来实施***的。***通过网站的留言版,论坛系统等功能提交一句话***到数据库里面,然后在***客户端里面输入这个网站的数据库地址并提交,就可以把一个ASP***写入到网站里面,获取网站的WEBSHELL权限。
8、论坛漏洞利用***方式
这种技术是利用一些论坛存在的安全漏洞来上传ASP***获得WEBSHELL权限,最典型的就是,动网6.0版本,7.0版本都存在安全漏洞,拿7.0版本来说,注册一个正常的用户,然后用抓包工具抓取用户提交一个ASP文件的COOKIE,然后用明小子之类的软件采取COOKIE欺骗的上传方式就可以上传一个ASP***,获得网站的WEBSHELL。
学完这八种技术,身为网管员的你是否对******服务器的方式有了详细的了解呢?更是否得出了有效的应对服务器***的办法呢?
一、WEB服务器面临威胁
在了解WEB服务器的安全状况之前,首先要让大家了解网站安全的另一面——******。97至98年互联网开始在中国兴起之时,***就已经诞生了,在98年印尼排华事件中,中国***对印尼ZF网站的打击行动通过媒体的渲染,让***一词进入了广大中国网民的眼帘。随着几次***大战的爆发以及媒体对***的渲染,让更多人加入了***这个队伍。那么***都是通过怎样的技术手段实施***的呢?97年到2002年以来,除了比较有名的UNICODE漏洞之外,***们大部分都是利用系统的各种溢出漏洞来实施***,包括像ipc共享空连接漏洞,ida/idq,printer漏洞,rpc漏洞等等。2003年,中国互联网开始从01年的互联网寒冬逐渐走向复苏,盛大、分众传媒、空中网等一系列IT企业分别在纳斯达克上市成功更进一步激起了更多IT从业人员开始开设网站和成立IT公司,梦想有一日能上纳斯达克拿美国股民的钱。网站数量的激增以及大家对网络安全的轻视,导致通过WEB的各种漏洞来进行***的事件越来越多。SQL注入漏洞随着***高手们一次又一次地使用在拿国内外游戏数据库和游戏网站的权限,并高价卖出,买车买房子之时,SQL注入以及相关技术在***的群体中普及开来。***们在比尔.盖茨先生弥补了大部分系统漏洞之后,开始转移方向,发现基于网站的各种脚本漏洞能非常轻易的使用, 而且能够通过提权来获取系统权限。于是,基于web的脚本漏洞成功***们的最爱。随后流氓软件开始在中国的互联网大地上盛行了起来,互联网的网站应用领域的******技术开始流行了起来。最典型的就是***的网站挂马技术,这种技术就是利用网站的漏洞建立或者上传一个ASP***的方式来获取网站的WEBSHELL权限,然后通过WEBSHELL权限通过提权获取系统权限,再接着就是在服务器的网站里面加入一些恶意的脚本代码,让你的电脑在访问网站的时候,不知不觉的中病毒和***程序,最后你电脑里面的重要资料,QQ号,网络游戏帐号,网上银行帐户里面的现金都会不翼而飞。 据专业权威机构统计,02年中国境内网站被***的比例不到10%,而到了06年,中国境内网站被***的比例是85%。***技术的普及化以及巨大商业利益的窃取网上银行的资金,QQ号码倒卖,网络游戏装备和帐号的倒卖等地下***产业链的形成是导致网站遭遇安全事件的主因。
二、WEB的各种***手段
1、SQL注入漏洞的***
这种是ASP+ACCESS的网站***方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP***上传上去,获得一个网站的WEBSHELL。
2、ASP上传漏洞的利用
这种技术方式是利用一些网站的ASP上传功能来上传ASP***的一种***方式,不少网站都限制了上传文件的类型,一般来说ASP为后缀的文件都不允许上传,但是这种限制是可以被***突破的,***可以采取COOKIE欺骗的方式来上传ASP***,获得网站的WEBSHELL权限。
3、后台数据库备份方式获得WEBSHELL
这个主要是利用网站后台对ACCESS数据库进行数据库备份和恢复的功能,备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成ASP,那么利用网站上传的功能上传一个文件名改成JPG或者GIF后缀的ASP***,然后用这个恢复库备份和恢复的功能把这个***恢复成ASP文件,从而达到能够获取网站WEBSHELL控制权限的目的。
4、网站旁注***
这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站实施***,拿到权限之后转而控制服务器的其它网站。
5、sa注入点利用的***技术
这种是ASP+MSSQL网站的***方式,找到有SA权限的SQL注入点,然后用SQL数据库的XP_CMDSHELL的存储扩展来运行系统命令建立系统级别的帐号,然后通过3389登录进去,或者在一台肉鸡上用NC开设一个监听端口,然后用VBS一句话***下载一个NC到服务器里面,接着运行NC的反向连接命令,让服务器反向连接到远程肉鸡上,这样远程肉鸡就有了一个远程的系统管理员级别的控制权限。
6、sa弱密码的***技术
这种方式是用扫描器探测SQL的帐号和密码信息的方式拿到SA的密码,然后用SQLEXEC之类的工具通过1433端口连接到远程服务器上,然后开设系统帐号,通过3389登录。然后这种***方式还可以配合WEBSHELL来使用,一般的ASP+MSSQL网站通常会把MSSQL的连接密码写到一个配置文件当中,这个可以用WEBSHELL来读取配置文件里面的SA密码,然后可以上传一个SQL***的方式来获取系统的控制权限。
7、提交一句话***的***方式
这种技术方式是对一些数据库地址被改成asp文件的网站来实施***的。***通过网站的留言版,论坛系统等功能提交一句话***到数据库里面,然后在***客户端里面输入这个网站的数据库地址并提交,就可以把一个ASP***写入到网站里面,获取网站的WEBSHELL权限。
8、论坛漏洞利用***方式
这种技术是利用一些论坛存在的安全漏洞来上传ASP***获得WEBSHELL权限,最典型的就是,动网6.0版本,7.0版本都存在安全漏洞,拿7.0版本来说,注册一个正常的用户,然后用抓包工具抓取用户提交一个ASP文件的COOKIE,然后用明小子之类的软件采取COOKIE欺骗的上传方式就可以上传一个ASP***,获得网站的WEBSHELL。
学完这八种技术,身为网管员的你是否对******服务器的方式有了详细的了解呢?更是否得出了有效的应对服务器***的办法呢?
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Selenium Webdriver元素定位的八种常用方式详解
- Selenium Webdriver元素定位的八种常用方式
- Selenium Webdriver元素定位的八种常用方式
- Selenium Webdriver元素定位的八种常用方式
- Selenium Webdriver元素定位的八种常用方式
- 针对Web服务器的八种入侵攻击方式
- Selenium Webdriver元素定位的八种常用方式(转载)
- Selenium Webdriver元素定位的八种常用方式
- Selenium Webdriver元素定位的八种常用方式(转)
- selenium学习之Selenium Webdriver元素定位的八种常用方式
- Selenium Webdriver元素定位的八种常用方式
- Selenium Webdriver元素定位的八种常用方式
- Selenium Webdriver元素定位的八种常用方式
- Selenium Webdriver元素定位的八种常用方式
- 针对Web服务器的八种入侵攻击方式
- Selenium Webdriver元素定位的八种常用方式
- Selenium Webdriver元素定位的八种常用方式
- Selenium Webdriver元素定位的八种常用方式
- 爬虫-【selenium—Webdriver元素定位的八种常用方式
- Selenium Webdriver元素定位的八种常用方式