一般来说,网站相对较低的漏洞有:1.SQl注入漏洞;2.目录中的漏洞;3.文件上传漏洞;4.审查漏洞的权限;5.admin密码漏洞;6.旁注漏洞。
下面简单分析一下各种漏洞,以及入侵和防入侵的方法。
首先说一下SQL注入漏洞,这是一个众所周知的漏洞,黑客可以应用这个漏洞来获取管理员的账户和密码,或者直接控制服务器。目前,小型网站上仍有许多漏洞,特别是学生在学校网站上建立的一些网站。入侵这些漏洞只需要一些SQl这里推荐注入工具:啊DSQL注入工具,网上也有教程,菜鸟也可以用这个工具赢几个网站。关于预防SQL我就不说了,网上教程很详细。
目录通用漏洞并不常见,但也有一些,允许读者直接在阅读器中阅读和下载网站文件,导致网站结构、网站文件,使数据库被黑客随意获得。造成这种漏洞的原因是服务器管理员的疏忽。漏洞入侵主要是获取数据库地址,用下载工具下载,并获得管理员账户。防止漏洞的方法是服务器管理员取消网站目录通用的权限。
文件上传漏洞,通常很多网站都支持会员注册,支持头像或其他文件的上传,所以我们可以利用这个功能上传一个webshell。这个漏洞主要是由于对上传文件格式的要求不严格组成的。目前,这个漏洞并不常见,但也有。只需严格检查上传的文件格式即可防止漏洞。
权限审查漏洞,我们知道普通人不允许访问管理员操作页面,所以写网站删除管理员页面连接,只知道连接人才进入页面,但通常有很多工具可以检查你的管理员页面,直接打开阅读器,奇迹,没有提示输入密码,可以直接操作。这就是权限审查的漏洞。这个漏洞也是我认为最低级别的漏洞,这个漏洞的原因是网站建立者的疏忽,或者水平不高。当然,这个漏洞很少见,但肯定有,我看到了更多的漏洞。防止漏洞的方法是检查管理员是否有权进入管理员页面。
admin我不知道为什么密码漏洞。许多网站建立者喜欢设置默许管理员账户asmin,密码普通是admin、123456、111111等待更常见的密码。但许多管理员并没有修改密码。下次你看到登录页面时,你可以尝试一下,你可以登录。防止这种漏洞的方法是及时修改密码,使密码更难设置。
关于旁注漏洞,也就是说,你的网站做得很好,几乎没有漏洞(真的不可能没有漏洞),但你的网站仍然让别人变黑,为什么?因为其他网站有太多的漏洞与你的服务器,黑客控制服务器也不能控制你的网站吗?这是通知我们,当我们发现一个网站是无缝的,看看网站和它在同一服务器上是否为你打开后门。很难防止注释,要么你自己使用服务器,要么让其他网站做得更好。
这是我这个月的学习总结经验,当然是菜鸟。入侵一个网站首先是找漏洞,其次是入侵方法。
希望这对想学黑客的菜鸟有用,或者对刚学做网站的朋友有用。