CTOCIO IT专家网

天极传媒 比特网 | 天极网 | IT专家网 | IT商网 | 52PK游戏网 | 手机天极 | IT分众 |
IT专家网搜索

网络安全,安全,网络安全设备,信息安全产品,网络安全新闻,信息安全市场分析,黑客攻防,防黑反黑技巧,黑客,网络安全技术,网络安全方案,病毒播报,最新病毒库,攻防技巧,入侵渗透,新闻,思科,Juniper,天融信,瑞星,金山,江民,卡巴斯基,赛门铁克, 趋势,绿盟科技,联想网御,MCAFEE,安氏,冰峰网络,网络入侵,木马,病毒,病毒分析,木马分析,样本分析,木马样本分析,病毒样本分析,杀毒软件

您现在的位置: IT专家网 > 安全子站 > 安全技巧

Web网站程序编写中的安全软肋

作者: 陆羽,  出处:IT168, 责任编辑: 韩博颖, 
2008-01-31 10:29
  一个纯静态的网页,不知道后台,也不知道FTP帐号密码等信息,但是它还是被人拿下了,这又是为什么呢?

  不管你的硬件防护措施如何的强大和严密,软件程序的算法和结构如何的规范严谨、网页程序编写时过滤的如何的严格,依然会破绽百出,这是为什么呢?因为Web程序的漏洞是永远都防不胜防的。例如动网论坛,动网经历了这么多年,被人不断的发掘出这么多的漏洞,其中有很多漏洞都是一些很低级的错误。一个纯静态的网页,不知道后台,也不知道FTP帐号密码等信息,但是它还是被人拿下了,这又是为什么呢?今天就让笔者来替大家进行一次不完全归纳及简要分析。下面我们一起来看一下由于程序员在软件编写过程中的疏漏导致的漏洞。

  网站程序存在的漏洞

  1. 注入漏洞

  2. 上传文件格式验证不完善

  3. 参数可写入文件——构造一句话

  4. mdb数据库改用ASP\ASA等名字作为数据库扩展名(添加防下载代码)

  5. 后台显示数据库路径

  6. 数据库可备份修改扩展

  7. 文件管理部分传递参数过滤问题及外部提交

  8. XSS漏洞骗取cookies得到后台权限

  9. 任意文件下载漏洞

  10. 远程包含漏洞

  11. 使用未加密的cookies进行用户权限等级及权限验证

  12. session被构造欺骗

  下面就让我们来简要分析下这些漏洞的形成和解决办法:

  (1) 注入漏洞

  注入漏洞的产生原理:

  我们来手工构造一段存在注入漏洞的查询程序,这里就使用asp比较简单明了

共9页。 1 2 3 4 5 6 :

网友评论

笔名 
请您注意:遵守国家有关法律、法规,尊重网上道德,承担一切因您的行为而直接或间接引起的法律责任。    IT专家网友拥有管理笔名和留言的一切权利。
  • 周排行榜
  • 月排行榜

邮件订阅


天极服务 | 关于我们 | 网站律师 | 加入我们 | 联系我们 | 广告业务 | 友情链接 | 我要挑错
All Rights Reserved, Copyright 2004-2007, ChinaByte
渝ICP证B2-20030003号 如有意见请与我们联系 powered by 天极内容管理平台CMS4i