我的网络攻防小结,附攻击实例(随笔)

4 篇文章 0 订阅

 随着服务器安全级别的提升,网络攻击的突破口主要转移到了web

 以现在重庆邮电的大学的校园网站为测试。

 1,首先确定需要攻击的主机或网站 

  这里可以用s端口扫面软件扫描,找出开放的80 8080端口等常用网站服务端口开放的主机

  或者已知域名更加dns找出 对应主机。  如发现202.202.43.201是开放的(网址大全上没有这个网站 ,看来是内部使用的,安全系数一般很低)

 

2,然后浏览网页查找漏洞

   这里所说的漏洞主要有 asql注入漏洞 b,文件上传漏洞。

A,主要a占据了攻击的60%。  使用空间如 穿山甲 safe3  可以扫描漏洞,然后破表 界面,进后台,再然后呵呵 。。。。如202.202.43.201(估计也是学生做的,希望各位手下留情,点到为止)

B,对于文件上传漏洞 一般存在于绕过前台的类型检查(后台没有检查) 服务器文件解析原理中的漏洞(如低版本1.x 2.x apache会解析1.php.rar(当做php),  IIS  1.php;rar,php的截断 xxx.php[\0].jpg  等等)上传非法木马 让后 使用软件如(中国菜刀)控制木马脚本执行webshell  然后就  呵呵呵。

 

其他 xss的攻击一般在于周密的策划 还有csrf   钓鱼伪造(一般的qq盗号)这些涉及欺骗用户行为的攻击这里就不做出详细说明,办法嘛,...........

Ddos以后再补充。

 

3,漏洞的提权 一般的webshell是普通用户权限 那么就要尽可能的提升权限 干更多的事儿。如果服务器是windows那么 就比较轻松 如果是linux的话 那么要多利用mysql等服务的漏洞(这个没试过 )。当然还有一些不错的提权软件。

 

以上便是攻击的一些常规策略。

 

下面说说防御

1,最直接 管用 必须的一招 严格限制上传文件目录的执行权限。

2,不要以超级权限运行web服务   (如http://www.ii123.com/jc/diannao/xitong/152345.html

3,上传的文件重命名,然后将相关信息存入数据库。对上传文件的类型检查要必要是可以读取文件的文件头来二次检查 。

4,告知用户更改弱类密码

5,数据传输转码(防止xsssql注入)

6,收集总结中,欢迎补充

 

 

 

 

  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值