网站安全隐患的十大特征

最新推荐文章于 2024-01-03 16:21:29 发布
最新推荐文章于 2024-01-03 16:21:29 发布
阅读量980 收藏
点赞数
分类专栏: 网站安全 文章标签: javascript microsoft statistics ssl 服务器 myspace

上网浏览时经常会看到形形色色的程序错误,令人哭笑不得。无需对该网站的安全性作进一步调查,也可断定它一定是漏洞百出。之所以敢如此肯定,是因为这些程序错误反映出开发者对安全的无知,而这些丑陋的错误还在不断重复和传播。 如果你在自己的网站中发现了这些问题,就该坐下来和你的开发者们好好聊一聊,顺藤摸瓜,找出根源。也许你不愿面对现实,但自己发现总好过留在那里被别人发现。对于下面列出的每个症状,要知荼毒之广,不妨看看给出的例子,亦印证本文所言非虚。

1 暴露站点统计信息
哪些人正在访问我的站点?这个问题大家都想知道,网络上也并不缺少这样的程序 。有商业版的日志分析软件,也有日益流行、甚至一些商业网站也在采用的开源分析软件,因为它们能提供很花哨的功能,选择面也多,令人不解的是为何有些站点的管理员不去管好它!比如,流行的统计程序AWStats 和 Webalizer存在许多安全漏洞,使用这些程序相当于自暴其丑。此外,访客在你的站点的活动记录应属于机密信息,有何理由公之于众?

示例:

"Generated by Webalizer" intitle:"Usage Statistics"
inurl:awstats filetype:pl
2 被遗忘的备份文件
在开发个人网站时,许多人没有使用完整的开发环境或版本控制软件,这可以理解。但如果用在商业网站的开发中,问题就来了:有些人为了图方便,将旧的网页改个名字,再上传一个新的版本,如果有问题,再重新改回原来的旧版本。一般在这些文件的名字加上.bak 或 .old, 如果忘记删除这些旧文件,那些颇有心计的攻击者的机会就来了。服务器当然不知道".bak" 或".old"是什么类型的文件,会乖乖地把你的源代码拱手送出!

例子

filetype:bak inurl:"default"
filetype:old inurl:"index"
inurl:"Copy%20of%20"
3 你的站点入选了“恶人榜”
存在跨站点脚本漏洞的网站实在数不胜数,黑客们对此已经麻木了。已经出现了“恶人榜”(Wall of Shame)之类的站点,专供过路者随手张贴发现的漏洞站点,这种游街示众的做法好像有点不太厚道,但似乎只有这样才能引起他们对安全问题的重视。大名鼎鼎的Dell, HP, MySpace, Photobucket, F5, and Acunetix都曾经入选过 sla.ckers.org 的“恶人榜”。

例子

http://sla.ckers.org/forum/read.php?3,44
4 目录遍历
如果连自己的服务器都管不好,网站的安全性就无从谈起。尽管有些目录是有意允许遍历的,但通常都是服务器管理不当的症状。

例子

"index of cgi-bin"
intitle:"index of/" intext:"parent directory"
5 以明文发送登录密码
以明文发送登录密码等于用高音喇叭宣告:“我对安全一无所知”。

6 过期的SSL证书
如果一个网站连更新SSL证书的钱都舍不得出,你还信得过他们吗?如果你不打算更新证书,最好不要使用SSL。当客户准备交易时看到浏览器给出的错误消息显示连接有问题,肯定会攥紧自己的钱包。

7 第三方软件的漏洞
别误会,我很赞成代码重用,既然有很好的开源代码,为什么还要重新发明轮子?但是,千万不要过分信赖别人的代码。如果你要在项目中使用这些代码,就要用同样的安全标准审查这些代码,而且还要对它的缺陷进行跟踪。至少要定期订阅免费的缺陷发布网站的缺陷列表,检查这些共享代码有没有问题。

例子

Secunia
SecurityFocus
8 详细的错误消息
详细的错误消息对开发者很有用,但对用户来说等于“红色警报”。即使你不是安全专家,也能看出网页中包含的错误消息意味着网站有潜在的漏洞。各种网站中像瘟疫一样流行的SQL注入就是 最常见的安全漏洞,而那些错误信息就像是地雷的导火索。不要自作聪明,关闭错误显示并不能消除漏洞,只不过增加了发现的难度而已。

例子

"ORA-00921: unexpected end of SQL command"
"Microsoft OLE DB Provider for ODBC Drivers error"
9 源代码中的注释
注释可以用来标记需要进一步检视的代码,特别是团队中的多名程序员共同完成的代码。在代码进入发布阶段前,要确保提到的问题已经解决,并且删除与此相关的注释。使用 Google代码搜索 可找到隐藏在许多库文件中 有趣的注释。别让这些注释成为指向漏洞的地图。

例子

// TODO lang:javascript
// FIXME lang:javascript
10 你已经被黑了!
如果你的网站已经出现在 被黑站点统计系统国内 国外[Zone-H]的档案中,就别再浪费时间了。有大把事情等着你做!
 

bookseas
关注
专栏目录
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
网站建设安全隐患有哪些,网站如何确保安全性?
fengshuseo的博客
08-22 422
网站建设的安全性是网站运营的基石,不论是自主建站还是找专门的建站团队或公司建站,要想通过网站来运营服务或产品,首先要确保自己的网站可以一直为用户提供服务,在网站出现意外情况时及时抢修。
网站中常见的信息安全隐患
qq_53814990的博客
04-18 359
五个常见的问题: 1、后台网址避免使用常见名称,防止被轻易猜到 2、管理员账号避免使用默认账号如admin、administrator、root、sa等,管理员密码避免使用弱口令如admin、123456、qwerty等 备注:可以采取filter过滤器等方式来避免可以直接跳转。(Filter过滤器只关心地址是否匹配,不关心资源是否存在) 3、构造符合语法规则的永真sql绕过登陆验证,利用单引号’闭合确保语法正确,然后构造1=1等永真判断(sql注入问题) 例如:‘or 1=1 or’ 可以跳过用户名和密
HTTP协议及其安全隐患
浮云渐渐
03-18 4599
HTTP协议   在TCP/IP协议栈中,应用层包含很多的协议,其中应用最为广泛的协议被称之为HTTP协议。在日常生活中使用HTTP协议十分广泛,比如在访问网站的时候,使用的协议就是HTTP协议。 HTTP协议   HTTP是一个基于请求与响应模式的、无状态的应用层协议。 请求响应   客户端要向web服务器发送一个请求以后,等待服务器回送http响应消息。 无状态   http协议整个过程当...
关于HTTP协议的安全隐患问题
a15929748502的博客
03-26 3528
1.错误配置导致安全隐患 服务器存在允许PUT方式和MOVE方式,这时我们可以通过PUT方式传一个webshell.txt,然后再结合MOVE方式结合解析漏洞,这样就可以很快拿到网站的webshell. 2.HTTP头中安全隐患 在PHP中通过使用$_SERVER["HTTP_CLIENT_IP"]或者$_SERVER["HTTP_X_FORWARDED_FOR"]来获取IP。 因此,我们...
网站常见安全漏洞概述
moshengtan的专栏
03-28 6842
网站比较低级的漏洞有:1.SQL注入漏洞;2.XSS跨站脚本攻击漏洞;3.文件上传漏洞;4.目录遍历漏洞;5.admin密码漏洞;6.权限审阅漏洞。 下面就来简单的分析一下各个漏洞内容以及防入侵方法:   一、SQL注入漏洞。 此类漏洞是人人皆知的漏洞,黑客可以利用该漏洞得到管理员的账号和密码,或者直接控制服务器。该漏洞目前在小型网站还比较多,尤其是学校网站里学生建设的一些网站。入侵此类漏
网站源代码安全测试规范1
08-08
网站源代码安全测试规范1是针对应用程序和网站源代码安全性的评估标准,旨在发现并修复如OWASP十大Web漏洞安全隐患,以提升系统的安全性。该规范遵循GB/T-17544信息技术软件包质量要求和测试标准,利用专业的源...
「安全众测」专业逆向人才培养模式探讨与实践 - 数据安全.zip
11-28
它强调的是预防性策略,帮助组织在实际攻击发生前识别并消除安全隐患。 2. 逆向工程:逆向工程是安全众测中的关键技能,通过对软件的二进制代码进行分析,理解其内部工作原理,以找出潜在的漏洞和弱点。逆向工程师...
IE浏览器防黑十大秘技
03-04
在“内容”→“自动完成”中,可以调整自动填充设置,并定期清除历史记录,以消除潜在的安全隐患。 4. **清除浏览历史**:浏览过的网址会存储在历史记录中,用户可以通过“Internet选项”→“常规”→“清除历史...
十大PHP最佳安全实践
04-22
- 定期执行代码审查以查找安全隐患。 - 进行渗透测试,模拟黑客攻击评估系统的防御能力。 - 培训团队成员关于最新的安全趋势和技术。 通过实施这些最佳实践,您可以显著提高PHP应用程序的安全性,减少遭受攻击的...
网站存在的安全隐患和解决措施
最新发布
m0_66268916的博客
01-03 1078
Precise Security近期的一项研究表明,跨站脚本攻击大约占据了所有攻击的40%,是最为常见的一类网络攻击。第一种情况是,如果能够获得关于即将到来的安全更新的信息,攻击者就可以在更新上线前分析出漏洞的位置。此类攻击可以是古怪的419骗局(属于预付费欺诈类骗局),或者涉及假冒电子邮件地址、貌似真实的网站和极具说服力用语的高端攻击。作为用户,只要看看网站的URL是不是以HTTPS开头就能发现这一潜在风险了,因为HTTPS中的“S”指的就是数据是加密的,缺了“S”就是未加密。
艰难入侵“中国被黑站点统计系统”
weixin_30886233的博客
02-15 869
前几天无事(其实一直都没啥鸟事),上网闲逛,进了一个站叫“中国被黑站点统计系统”,收录了5W多条黑页记录,看起来很强大的样子。突然心血来潮想检测一下这个站点的安全性,经过一番努力,最后终于拿下了这个站点和整个服务器,过程中学到不少东西,入侵水平也有了提高,记录下来与大家分享下。很多图是后来截的,可能跟原过程有有点小出入,不过总体上是一样的。首先,这种网站本身一般是不大可能有注射点什么的,功能看起来...
渗透前信息收集
weixin_70392128的博客
08-05 3971
渗透前信息收集
9月第2周国内被黑站点统计:提交数下降8.31%
weixin_34248487的博客
09-16 160
据中国被黑站点统计系统数据,9月第2周(2013-09-6至2013-09-12),国内被黑网站提交总数为596个,比上周下降了8.31%。下面是具体情况:(图1)9月第2周被黑网站提交情况(2013-09-6至2013-09-12) 据图1,提交数最多的是在9月9日,共提交了289个,然后是9月12日,共提交了103个。提交数最少的是在9月8日,提交数为1个。平均每天提交了...
8月第2周国内被黑站点统计:.COM占比73.80%
weixin_34043301的博客
08-19 210
IDC评述网(idcps.com)08月19日报道:据中国被黑站点统计系统数据,8月第2周(2013-08-09至2013-08-15)国内被黑网站提交总数为1084个,比上周下降了26.61%。下面是由IDC评述网整理的具体情况:(图1)8月第2周被黑网站提交情况(2013-08-09至2013-08-15)据图1,提交数最多的是在8月14日,共提交了481个,然后是8月9...
GOOGLE HACKING 系列文章 【FreeXploiT整理收集】
热门推荐
FreeXploiT
12-20 17万+
本文涉及作者 swap(慕容小雨),zhaohuan(Xfocus),snipe(4ngel)信息安全的隐患-GoogleHacking原理和防范作者:zhaohuan@phack.org 来源:www.phack.org技术天地:GoogleHacking是利用Google的搜索引擎快速查找存在脆弱性的主机以及包含敏感数据的信息,最近这种以前由黑客手动进行操作的攻击手段可以通过一种新的蠕虫病毒来
PHP中执行系统外部命令
最爱白菜
07-23 1824
PHP作为一种服务器端的脚本语言,象编写简单,或者是复杂的动态网页这样的任务,它完全能够胜任。但事情不总是如此,有时为了实现某个功能,必须借助于操作系统的外部程序(或者称之为命令),这样可以做到事半功倍。 那么,是否可以在PHP脚本中调用外部命令呢?如果能,如何去做呢?有些什么方面的顾虑呢?相信你看了本文后,肯定能够回答这些问题了。 是否可以? 答案是肯定的。PHP和其它的程序设计语言
网站渗透测试服务 squid反向代理代码执行漏洞的挖掘
网站安全专家
09-02 476
在对网站进行渗透测试的时候,发现很多网站都在使用squid反向代理系统,该系统存在可以执行远程代码的漏洞,很多客户找我们SINE安全做渗透测试服务的同时,我们会先对客户的网站进行信息搜集工作,包括域名,二级域名收集,网站使用的反向代理系统,网站程序开发语言,是否使用开源的代码,以及网站后台路径收集,都在前期渗透中需要做的。 前段时间某一个客户网站使用的就是squid反向代理系统,客户APP,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值