本文目录一览:
- 1、asp.net如何防止xss(脚本注入啊)
- 2、网络攻击的主要4个类型
- 3、text/html与text/plain有什么区别
- 4、网页设计和网站开发用到的技术有哪些?
- 5、文本框xss攻击im bug是怎么用
- 6、请问如何解决跨站问题?
asp.net如何防止xss(脚本注入啊)
将标签替换啊,如“”替换成“ l t ;”,等,简单代码:
string s1 = "scriptalert('abc')/script";
s1 = s1.Replace("", " l t ;").Replace("", " g t ;");
网络攻击的主要4个类型
浏览器攻击
基于浏览器的网络攻击与第二种常见类型相关联。他们试图通过网络浏览器破坏机器,这是人们使用互联网的最常见方式之一。浏览器攻击通常始于合法但易受攻击的网站。攻击者攻击该站点并使用恶意软件感染该站点。当新访问者(通过Web浏览器)到达时,受感染的站点会尝试通过利用其浏览器中的漏洞将恶意软件强制进入其系统。
暴力破解
暴力破解攻击类似于打倒网络的前门。攻击者试图通过反复试验来发现系统或服务的密码,而不是试图欺骗用户下载恶意软件。这些网络攻击可能非常耗时,因此攻击者通常使用软件自动执行键入数百个密码的任务。
暴力破解攻击是遵循密码最佳实践的重要原因之一,尤其是在关键资源(如网络路由器和服务器)上。
长而复杂的密码比愚蠢的密码(例如“123456”,“qwerty”和“password”)更难以通过蛮力破解。请放心:这些是攻击者尝试的第一把钥匙。
拒绝服务(DDoS)攻击
拒绝服务攻击(也称为分布式拒绝服务攻击(DDoS))在网络安全攻击列表中排名第三,并且每年都在不断增强。
DDoS攻击试图淹没资源 例如网站,游戏服务器或DNS服务器 - 充斥着大量流量。通常,目标是减慢或崩溃系统。
但DDoS攻击的频率和复杂性正在增加。
蠕虫病毒
恶意软件通常需要用户交互才能开始感染。例如,此人可能必须下载恶意电子邮件附件,访问受感染的网站或将受感染的USB插入计算机。蠕虫攻击自行传播。它们是自我传播的恶意软件,不需要用户交互。通常,它们利用系统漏洞传播到本地网络之外。
WannaCry勒索软件在几天内感染了超过300,000台计算机,使用蠕虫技术攻击网络和计算机。
WannaCry针对一个广泛的Windows漏洞迅速破坏了一台机器。一旦机器被感染,恶意软件就会扫描连接的LAN和WAN,以查找并感染其他易受攻击的主机。
恶意软件攻击
当然,恶意软件是恶意软件创建用于伤害、劫持或监视感染系统的应用程序。目前尚不清楚为什么“蠕虫病毒攻击”不包含在此类别中 - 因为它们通常与恶意软件相关联。
无论如何,恶意软件很普遍并且众所周知。它传播的三种常见方式包括:
网络钓鱼电子邮件 攻击者创建邮件以诱使受害者陷入虚假的安全感,欺骗他们下载最终成为恶意软件的附件。
恶意网站 攻击者可以设置包含漏洞利用工具包的网站,这些漏洞利用工具包旨在查找网站访问者系统中的漏洞并使用它们将恶意软件强制到其系统中。这些网站还可用于将恶意软件伪装成合法下载。
恶意广告 聪明的攻击者已经发现了使用广告网络分发商品的方法。点击后,恶意广告可以将用户重定向到恶意软件托管网站。某些恶意广告攻击甚至不需要用户交互来感染系统。
网络攻击
面向公众的服务,例如Web应用程序和数据库 也是网络安全攻击的目标。
最常见的网络应用攻击:
跨站点脚本(XSS) 攻击者破坏易受攻击的网站或Web应用程序并注入恶意代码。当页面加载时,代码在用户的浏览器上执行恶意脚本。SQL注入(SQLi)攻击者不是将标准数据提交到文本框或其他数据输入字段,而是输入SQL语句来诱骗应用程序显示或操纵其数据。
Path Traversal 攻击者制定HTTP请求以绕过访问控制并导航到系统中的其他目录和文件。例如,路径遍历攻击可以授予攻击者访问站点Web服务器的核心文件的权限,而不是限于单个网站的内容。
扫描攻击扫描不是彻底的网络攻击,而是攻击前的侦察。攻击者使用广泛使用的扫描工具来探测面向公众的系统,以便更好地了解现有的服务,系统和安全性。
端口扫描器 用于确定系统开放端口的简单工具。存在几种类型,其中一些旨在防止被扫描目标的检测。
漏洞扫描程序 收集有关目标的信息,并将其与已知的安全漏洞进行比较。结果是系统上已知漏洞及其严重性的列表。
其他攻击
我们只能推测绑定到“其他”的网络攻击类型。也就是说,这里有一些常见的嫌疑人:
物理攻击 尝试以老式的方式摧毁或窃取网络架构或系统。被盗的笔记本电脑是一个常见的例子。
内部人员攻击 并非所有网络攻击都是由局外人执行的。愤怒的员工,犯罪的第三方承包商和笨拙的工作人员只是少数潜在的参与者。他们可以窃取和滥用访问凭据,滥用客户数据或意外泄露敏感信息。
高级持续性威胁 最先进的网络攻击由黑客精英团队执行,他们根据目标环境调整和定制技术。他们的目标通常是通过隐藏和“持久”来长时间窃取数据。
展开剩余内容
text/html与text/plain有什么区别
一、形式不同
text/html是以html的形式输出,比如就会在页面上显示一个文本框。text/plain形式就会在页面上原样显示这段代码。
二、意思不同
text/html的意思是将文件的content-type设置为text/html的形式,浏览器在获取到这种文件时会自动调用html的解析器对文件进行相应的处理。
text/plain的意思是将文件设置为纯文本的形式,浏览器在获取到这种文件时并不会对其进行处理。
三、编码来源不同
text/html是html格式的正文,text/plain是无格式正文。text/xml忽略xml头所指定编码格式而默认采用us-ascii编码,application/xml会根据xml头指定的编码格式来编码。text/plain还可以有效避免XSS漏洞。
网页设计和网站开发用到的技术有哪些?
A — AJAX
AJAX 全称为“ Asynchronous JavaScript and XML ”(异步 JavaScript 和 XML ),是一种创建交互式网页应用的 网页开发 技术。根据Ajax提出者Jesse James Garrett建议,AJAX:
使用 XHTML + CSS 来表示信息;
使用 JavaScript 操作 DOM (Document Object Model)进行动态显示及交互;
使用 XML 和 XSLT 进行数据交换及相关操作;
使用 XMLHttpRequest 对象与 Web服务器 进行异步数据交换;
使用 JavaScript 将所有的东西绑定在一起。
类似于 DHTML 或 LAMP ,AJAX不是指一种单一的技术,而是有机地利用了一系列相关的技术。事实上,一些基于AJAX的“派生/合成”式(derivative/composite)的技术正在出现,如 AFLAX 。
B — Browser
网页浏览器 是个显示 网页服务器 或文件系统内的文件,并让用户与此些文件交互的一种 软件 。它用来显示在 万维网 或 局域网
等内的文字、图像及其他信息。这些文字或图像,可以是连接其他网址的超连结,用户可迅速及轻易地浏览各种信息。大部分网页为 HTML
格式,有些网页需特定浏览器才能正确显示。 个人电脑 上常见的网页浏览器按照2010年1月的市场占有率依次是 微软 的 Internet
Explorer 、 Mozilla 的 Firefox 、 Google 的 Google Chrome 、 苹果公司 的 Safari 和
Opera软件公司 的 Opera 。浏览器是最经常使用到的 客户端程序 。Web开发人员应该确保其程序在各个主流浏览器中都能正常工作。
C — CSS
层叠样式表, 又称: 串样式列表 ,英文: Cascading Style Sheets ,简写为 CSS ,由 W3C
定义和维护的标准,一种用来为结构化文档(如 HTML 文档或 XML 应用)添加样式(字体、间距和颜色等)的 计算机语言 。目前最新版本是
CSS 2.1,为W3C的候选推荐标准。下一版本CSS 3仍然在开发过程中。
D — DOM
文档对象模型 (Document Object Model,简称DOM),是 W3C 组织推荐的处理 可扩展置标语言
的标准编程接口。Document Object Model的历史可以追溯至1990年代后期微软与 Netscape 的“ 浏览器大战
”(browser wars),双方为了在 JavaScript 与 JScript
一决生死,于是大规模的赋予浏览器强大的功能。微软在网页技术上加入了不少专属事物,计有VBScript、ActiveX、以及微软自家的D HTML
格式等,使不少网页使用非微软平台及浏览器无法正常显示。DOM即是当时蕴酿出来的杰作。
E — Events
事件 是可以被控件识别的操作,如按下确定按钮,选择某个 单选按钮 或者 复选框 。每一种控件有自己可以识别的事件,如 窗体 的加载、单击、双击等事件,编辑框(文本框)的文本改变事,等等,现代的Web应用程序很大程度上依靠事件驱动。
事件有系统事件和用户事件。系统事件由系统激发,如时间每隔24小时,银行储户的存款日期增加一天。用户事件由用户激发,如用户点击按钮,在文本框中显示特定的文本。 事件驱动 控件执行某项功能。触发事件的对象称为事件发送者;接收事件的对象称为事件接收者。
使用事件机制可以实现:当类对象的某个状态发生变化时,系统将会通过某种途径调用类中的有关处理这个事件的方法或者触发控件事件的对象就会调用该控件所有已注册的事件处理程序等。
F — Firebug
Firebug 是 网页浏览器 Mozilla Firefox
的一个扩展,是一个除错工具。用户可以利用它除错、编辑、甚至删改任何网站的 CSS 、 HTML 、 DOM 、与 JavaScript
代码。Firebug 也有提供其他网页开发工具,例如 Yahoo! 的网页速度优化建议工具 YSlow 。Firebug是哈维( Joe
Hewitt )撰写的。他是最初Firefox创始者之一。
G — Grid
网格 ,也称 栅格 ,不过从定义上说,栅格更为准确些。网上找个一个对网页栅格系统比较恰当的 定义
:以规则的网格阵列来指导和规范网页中的版面布局以及信息分布。网页栅格系统是从平面栅格系统中发展而来。对于网页设计来说,栅格系统的使用,不仅可以让
网页的信息呈现更加美观易读,更具可用性。而且,对于前端开发来说,网页将更加的灵活与规范。如果有很多CSS框架支持栅格功能,可参考文章《
介绍27款经典的CSS框架 》。
H — HTML
超文本置标语言 ( 英文 : HyperText Markup Language , HTML )是为“ 网页 创建和其它可在 网页浏览器
中看到的信息”设计的一种 置标语言 。HTML被用来结构化信息——例如标题、段落和列表等等,也可用来在一定程度上描述文档的外观和 语义 。由
蒂姆·伯纳斯-李 给出原始定义,由 IETF 用简化的 SGML (标准通用置标语言)语法进行进一步发展的HTML,后来成为国际标准,由
万维网联盟 (W3C)维护。
最新版本是 HTML5 它是HTML下一个的主要修订版本,现在仍处于发展阶段。目标是取代1999年所定订的 HTML 4.01和
XHTML 1.0 标准,以期能在互联网应用迅速发展的时候,使网络标准达到符合当代的网络需求。广义论及HTML5时,实际指的是包括HTML、
CSS 和 JavaScript 在内的一套技术组合。
I — IE
Windows Internet Explorer (旧称 Microsoft Internet Explorer ,简称
Internet Explorer ,缩写 IE ),是 微软公司 推出的一款 网页浏览器
。截至2010年9月止,统计的数据显示Internet Explorer的 市场占有率
高达59.65%。虽然它依然是使用最广泛的网页浏览器,但与 2003年 最高峰时相比,市场占有率相差超过30%。
Internet Explorer对一些标准化技术都有一定程度上的支持,但亦有很多运行上的差距和兼容性的故障
,这导致技术开发者的批评日益增加。批评增加的情况,在很大程度上是归因于Internet
Explorer的竞争对手相对地已提供完全的技术支持,标准规格(Standards-compliant)的应用亦越来越广泛起来。因为
Internet Explorer在全球广为应用,网络开发者们在寻求 跨平台 的代码时常常会发现Internet
Explorer的漏洞、私有的功能集合和对标准支持的不完善。
2011年3月14日发布的Internet Explorer
9浏览器大幅提高对CSS3和HTML5等W3C规范的支持程度,这个版本也是Internet
Explorer浏览器第一个采用GPU加速的版本,正式版于Acid3测试中获得95/100分,相比以往版本有很大进步。可以认为,从
Internet Explorer 9开始,Internet Explorer浏览器对W3C规范的支持将不再是问题。
J — JavaScript
JavaScript 是一种广泛用于 客户端 Web开发 的 脚本语言
,常用来给HTML网页添加动态功能,比如响应用户的各种操作。它最初由 网景公司 的 Brendan Eich
设计,是一种动态、弱类型、基于原型的语言,内置支持类。JavaScript是 Sun公司 的注册商标。 Ecma国际
以JavaScript为基础制定了 ECMAScript
标准。JavaScript也可以用于其他场合,如服务器端编程。完整的JavaScript实现包含三个部分: ECMAScript ,
文档对象模型 , 字节顺序记号 。
Netscape公司在最初将其脚本语言命名为LiveScript来Netscape在与Sun合作之后将其改名为JavaScript。
JavaScript最初受 Java
启发而开始设计的,目的之一就是“看上去像Java”,因此语法上有类似之处,一些名称和命名规范也借自Java。但JavaScript的主要设计原则
源自 Self 和 Scheme
.JavaScript与Java名称上的近似,是当时网景为了营销考虑与Sun公司达成协议的结果。为了取得技术优势, 微软 推出了 JScript
来迎战JavaScript的 脚本语言 。为了互用性, Ecma国际 (前身为 欧洲计算机制造商协会
)创建了ECMA-262标准(ECMAScript)。现在两者都属于 ECMAScript 的实现。尽管JavaScript作为给非程序人员的
脚本语言 ,而非作为给程序人员的 编程语言 来推广和宣传,但是JavaScript具有非常丰富的特性。
K — Keyword Optimization
关键词优化 ,也叫 搜索引擎优化 ( Search Engine Optimization ,简称 SEO )是一种利用 搜索引擎
的搜索规则来提高目的 网站 在有关搜索引擎内的排名的方式。由于不少研究发现,搜索引擎的用户往往只会留意搜索结果最前面的几个条目,所以不少 网站
都希望通过各种形式来影响搜索引擎的排序。当中尤以各种依靠广告维生的网站为甚。
所谓“针对搜索引擎作优化的处理”,是指为了要让网站更容易被搜索引擎接受。搜索引擎会将网站彼此间的内容做一些相关性的数据比对,然后再由 浏览器 将这些内容以最快速且接近最完整的方式,体现给搜索者。
搜索引擎优化对于任何一家网站来说,要想在网站推广中取得成功,搜索引擎优化都是至为关键的一项任务。同时,随着搜索引擎不断变换它们的排名算法规
则,每次算法上的改变都会让一些排名很好的网站在一夜之间名落孙山,而失去排名的直接后果就是失去了网站固有的可观访问量。所以每次搜索引擎算法的改变都
会在网站之中引起不小的骚动和焦虑。可以说,搜索引擎优化是一个愈来愈复杂的任务。
L — Less
Less
最早是一个ruby的gem,让CSS具有动态语言的特性,这些特性包括变量,操作符,嵌套规则。其实Less真正的作用是将使用高级特性的CSS转换成
标准的CSS。这些都是在Web客户端发起请求时通过Http
Handler来完成的。也可以是编辑时就完成的。此外,Less可以配置成自动最小化所生成的CSS文件,不仅节省了带宽,并且使最终用户体验更上一
层。另外有.Net版本的 Less 。
M — MVC
MVC模式 (Model-View-Controller)是 软件工程 中的一种 软件架构
模式,把软件系统分为三个基本部分:模型(Model)、视图(View)和控制器(Controller)。MVC模式最早由 Trygve
Reenskaug 在1974年提出,是 施乐帕罗奥多研究中心 (Xerox PARC)在20世纪80年代为程序语言 Smalltalk
发明的一种软件设计模式。 MVC模式
的目的是实现一种动态的程序设计,使后续对程序的修改和扩展简化,并且使程序某一部分的重复利用成为可能。除此之外,此模式通过对复杂度的简化,使程序结
构更加直观。软件系统通过对自身基本部份分离的同时也赋予了各个基本部分应有的功能。
N — Node.JS
Node 是一个Javascript运行环境(runtime) , 实际上它是对Google V8 引擎(应用于Google
Chrome浏览器)进行了封装。 V8 引
擎执行Javascript的速度非常快,性能非常好。Node对一些特殊用例进行了优化,提供了替代的API,使得V8在非浏览器环境下运行得更好。例
如,在服务器环境中,处理二进制数据通常是必不可少的,但Javascript对此支持不足,因此,V8.Node增加了Buffer类,方便并且高效地
处理二进制数据。因此,Node不仅仅简单的使用了V8,还对其进行了优化,使其在各环境下更加给力。 Node.js
包罗万象,但最主要的一点是,它提供了一种在Web浏览器之外运行Javascript的途径。Javascript广泛应用于网站的前端开发。Node
使得这种流行的编程语言能够在更多环境下运行,甚至是网站的服务器端。
O — Object
对象 (object),是 面向对象 (Object Oriented) 中的术语,既表示客观世界 问题空间
(Namespace)中的某个具体的事物,又表示软件系统 解空间 中的基本元素。在软件系统中,对象具有唯一的 标识符 ,对象包括 属性
(Properties)和 方法 (Methods),属性就是需要记忆的信息,方法就是对象能够提供的服务。在面向对象(Object
Oriented) 的软件中,对象(Object)是某一个 类 (Class)的 实例 (Instance)。
P — PHP
PHP ( H ypertext P reprocessor )是一种在电脑上运行的 脚本语言 ,主要用途是在于处理 动态网页
,也包含了 命令行 运行接口(command line interface),或者产生 图形用户界面 (GUI)程序。PHP最早由 Rasmus
Lerdorf 在1995年发明,而现在PHP的标准由PHP Group和开放源代码社区维护。PHP以PHP
License作为许可协议,不过因为这个协议限制了PHP名称的使用,所以和开放源代码许可协议 GPL 不兼容。
PHP的应用范围相当广泛,尤其是在网页程序的开发上。一般来说PHP大多运行在网页服务器上,通过运行PHP代码来产生用户浏览的网页。PHP可
以在多数的服务器和操作系统上运行,而且使用PHP完全是免费的。根据2007年4月的统计数据,PHP已经被安装在超过2000万个网站和100万台服
务器上。
Q — Query
查询 ,有很多种意思。例如查询语言用来和存储数据的扩展系统交互,一个很好的例子就是SQL用来操作关系数据库。另一种意思是,一个查询字符串,作为URL的一部分用于Web应用程序中传递数据,查询字符串的格式一般是键值对形式。
R — Regular Expressions
正则表达式 ( 英语 :Regular Expression、regex或regexp,缩写为RE),也译为 正规表示法 、 常规表示法
,在 计算机科学 中,是指一个用来描述或者匹配一系列符合某个 句法 规则的 字符串 的单个字符串。在很多 文本编辑器
或其他工具里,正则表达式通常被用来检索和/或替换那些符合某个模式的文本内容。许多 程序设计语言 都支持利用正则表达式进行字符串操作。例如,在
Perl 中就内建了一个功能强大的正则表达式引擎。正则表达式这个概念最初是由 Unix 中的工具软件(例如 sed 和 grep )普及开的。
S — Source Control
源代码管理 ,也称 版本控制 ,是一种 软件工程 技巧,借此能在软件开发的过程中,确保由不同人所编辑的同一程式档案都得到同步。 软件设计师
常会利用版本控制来追踪、维护 源码 、 文件 以及 设定档 等等的更动,并且提供控制这些更动控制权的 程序 。在最简单的情况下, 软件设计师
可以自己保留一个程式的许多不同版本,并且为它们做适当的编号。这种简单的方法已被用在很多大型的软件专案中。这是一个可以达到目的的方法,但不够有效
率。除了得同时维护很多几乎一样的 程式码 备份外;而且极度依赖 软件设计师 的自我修养与开发纪律,但这却常是导致错误发生的原因。
有时候,一个程式同时存有两个以上的版本也有其必要性,例如:在一个为了部署的版本中 程式错误
已经被修正、但没有加入新功能;在另一个开发版本则有新的功能正在开发、也有新的错误待解决,这使得同时间需要不同的版本并修改。此外,为了找出只存在于
某一特定版本中的 程式错误 、或找出 程式错误 出现的版本,软件除错者也必须借由比对不同版本的程式码以找出问题的位置。
T — TDD
测试驱动开发 (Test-driven development)是现代计算机 软件开发 方法的一种。利用 测试 来驱动 软件
程序的设计和实现。测试驱动开始流行于20世纪90年代。测试驱动开发是 极限编程
中倡导的程序开发方法,方法主要是先写测试程序,然后再编码使其通过测试。测试驱动开发的目的是取得快速反馈并使用“illustrate the
main line”方法来构建程序。
测试驱动开发的比喻。开发可以从两个方面去看待:实现的功能和质量。测试驱动开发更像两顶帽子思考法的开发方式,先戴上实现功能的帽子,在测试的辅
助下,快速实现正确的功能;再戴上 重构
的帽子,在测试的保护下,通过去除冗余和重复的代码,提高代码重用性,实现对质量的改进。可见测试在测试驱动开发中确实属于核心地位,贯穿了开发的始终。
U — Unit Testing
单元测试 (又称为 模块测试 )是针对 程序模块 ( 软件设计 的最小单位)来进行正确性检验的测试工作。程序单元是应用的最小可测试部件。在
过程化编程 中,一个单元就是单个程序、函数、过程等;对于面向对象编程,最小单元就是方法,包括基类(超类)、抽象类、或者派生类(子类)中的方法。
通常来说,程序员每修改一次程序就会进行最少一次单元测试,在编写程序的过程中前后很可能要进行多次单元测试,以证实程序达到 软件规格书 (
en:Specification )要求的工作目标,没有 臭虫 ;虽然单元测试不是什么必须的,但也不坏,这牵涉到 项目管理 的政策决定。
V — VIM
Vim 是从 vi 发展出来的一个 文本编辑器 。代码补完、编译及错误跳转等方便编程的功能特别丰富,在程序员中被广泛使用。和 Emacs
并列成为 类Unix系统 用户最喜欢的编辑器。Vim的第一个版本由 Bram Moolenaar 在1991年发布。最初的简称是 V i
IM itation,随着功能的不断增加,正式名称改成了 V i IM proved。现在是在 开放源代码 方式下发行的 自由软件 。
W — WordPress
WordPress 是一种使用 PHP 语言开发的 博客 平台,用户可以在支持 PHP 和 MySQL 数据库
的服务器上架设自己的网志。也可以把 WordPress 当作一个 内容管理系统 (CMS)来使用。WordPress 是一个免费的 开源
项目,在 GNU通用公共许可证
下授权发布。目前最新版本为2011年2月24日发布的3.0.5官方简体中文版,另外还有包括英文在内的多种语言可选。
X — XSS
跨网站指令码 ( Cross-site scripting ,通常简称为 XSS )是一种网站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了 HTML 以及使用者端 脚本语言 。
Y — YUI
Yahoo! UI Library ( YUI ) 是一个开放源代码的 JavaScript 函数库,为了能建立一个高互动的网页,它采用了 AJAX , DHTML 和 DOM 等程式码技术。它也包含了许多 CSS 资源。
Z — Z index
Z-Index
是CSS属性,设置元素的堆叠顺序。拥有更高堆叠顺序的元素总是会处于堆叠顺序较低的元素的前面。该属性设置一个定位元素沿 z 轴的位置,z 轴定义为垂直延伸到显示区的轴。如果为正数,则离用户更近,为负数则表示离用户更远。
文本框xss攻击im bug是怎么用
xss针对前端,后端如果没进行过滤的话前端照样输出造成了XSS攻击
请问如何解决跨站问题?
最近脚本攻击好象是很流行的,不过早在很久前就有这个了!脚本攻击严格的说应该是一件艺术而不是漏洞!首先我们先要知道什么是脚本,脚本就是运行在网页服务器上的文本程序,例如:ASP、PHP、CGI、JSP、ISAP等等,脚本的攻击就是利用这些文件的设置和编写时的错误或者疏忽不当,攻击者就可以利用这些来达到自己攻击目的,如果一个服务器存在这些漏洞,那么它的沦陷也是时间的问题!
这些文本文件一般都是要结合数据库来使用的,这些数据库有ACCESS、MSSQL、MYSQL、Oracle等!脚本攻击就是针对这些数据库来配合脚本对一些变量的过滤不严的问题来达到得到用户密码等敏感信息,修改数据库等目的!下面我就针对这些来分别举例说明!
一、跨站脚本的攻击
脚本的跨站(CSS/XSS)就是利用程序对用户提交的变量不严,大多数是利用多媒体标签,前段时间比较流行的flash跨站就是利用的这个,比如我在[FLASH=450,350][/FLASH]之间插入一个我自己作好的一个swf文件,swf文件里我们用geturl里加上javascript:window.open(''就可以让他打开清风安全网的网站,如果这里是一个木马网页,呵呵,,,你就等着中木马吧!还有就是窃取用户的cookie,例如我们利用也就是图片的跨站,在这个里面插入
这段地址即可得到!如果将javascript过滤掉后怎么办?
好,我们在看看下面这段代码:
[upload=swf]uploadImages/200310812145390577.swf?"[/upload]
怎么样,还是能将你的信息得到的,而且还不会弹出对话框!
另外在joekoe论坛程序里还有一个这样的问题,比如你发个帖子里有[DIR][/DIR]就会弹出一个播放器的安装程序,呵呵,如果是一个黑心的站长利用这个来放马,那后果就不用说了吧!
解决办法:现在还没有好的方法解决这个问题,你要做的就是将多媒体的标签删掉!
另附ASP和PHP的跨站代码
php如下
$info = getenv("QUERY_STRING";
if ($info) {
$fp = fopen("test.txt","a";
fwrite($fp,$info."n";
fclose($fp);
}
?
asp如下
二、sql injection
是现在最热门的,也是本文要重点说的!
1、ASP+ACCESS数据库类型的SQL注射
现在的大多数网站是采用的这个组合,但是如果在ASP程序中没有对用户提交的变量充分过滤的话就可能导致管理员密码被猜到,整个网站的信息就会暴漏无移~!
在大多数ASP站点中,我们并不知道其程序代码,靠任何扫描器也不可能发现SQL injection漏洞,这时就要靠手工检测了,由于我们执行SQL语句要用到单引号、分号、逗号、冒号和“--”,所以我们就在可修改的URL后加上以上符号,或在表单中的文本框加上这些符号!比如比较经典的金梅系统漏洞,在movie.aps中有怎么一段代码:
articleid=request("id"
set rs=server.createobject("adodb.recordset"
sql="update learning set hits=hits+1 where articleID="articleid
--------------------------------------------------------------------------------
2 [转帖]脚本安全和利用
rs.open sql,conn,1,3
sql="select * from learning where articleid="articleid
rs.open sql,conn,1,1
articleid未经任何检查便提交了,所以我们就可以自己构造一些SQL语句来提交上去!具体的利用过程请看拙作《SQL注入完整篇》和《SQL注入的补充》的动画教程,这里我就不在重复的说了!
2、ASP+MYSQL数据库类型的利用
MYSQL数据库简单使用和强大的功能一直以来都是网管们的最爱!但是如果是ASP中没有对变量过滤的话,我们就可以来直接的到他的系统管理员权限!
比如动网论坛、BBSXP论坛的SQL版有好几个文件都没有对ID过滤,所以我们只要找到他的存在问题的页面就可以了,
看这段代码:rs.open "select * from news where newsid=" cstr(request("newsid"),conn,1,1
比如我们提交:
;exec master.dbo.xp_cmdshell 'net user xuehan ilovexuehan /add';--
;exec master.dbo.xp_cmdshell 'net localgroup administrators xuehan /add';--
看到了吗?我们已经在系统中田加了一个xuehan 密码是ilovexuehan的管理员帐号,以下的事情你就自己来做吧,呵呵,,,不用我来教了吧!!!
如果过滤了分号和单引号怎么办?呵呵,我们只要将我们的命令形式转换一下,比如我们转换成十六进制或者别的形式就可以继续注入了,还有就是他如果过滤了xp_cmdshell 我们也可以解决,我们可以写成xp'+'_cmd'+'shell形式,如果他将xp_cmdshell 扩展删掉,我们可以通过xplog70.dll文件来恢复,呵呵,,,具体自己查找下数据库的知识,当然我们也可以用别的扩展!所以说SQL injection不仅仅是一门技术,更要有灵活的头脑和扎实的数据库知识,特别是对SQL语言的掌握程度,如果不会SQL语言,你永远都是生搬硬套,遇到障碍就过不去了!
3、PHP+MYSQL数据库类型
PHP+MYSQL一直以来都认为是最安全的组合,不过一些文件没有过滤单引号、反斜线等,我们也可以来进行注入,不过在最新的php安装程序里的php.ini文件默认都是对这些过滤掉的,所以很大情况下我们是无法对进行注入的,不过也有许多牛人们可以饶过这个限制的!由于我的PHP和MYSQL不是太懂,所以就不能来具体举例来说明了,大家要是有兴趣可以去找写资料来看!!!
需要从根本上解决解决SQL Injection问题。还得从程序本身入手。过滤不能单纯的过滤URL所提交的参数,在表单里的也要过滤,value=后面的可以修改的数据,修改后可以提交到服务器,总之对所有的表单提交的数据以及用户可能对HTML源文件进行修改来控制的所有来自Web服务器外部的数据进行过滤或转换,对单引号、双引号、分号“--”还有对数字键上面的所有特殊字符进行过滤,还有QUERY_STRING环境变量。在服务器上删除一些危险的扩展存储过程,比如xp_cmdshell。有条件装个IDS更好,不敢说无坚不摧,但至少可以阻挡大部分攻击者。
三、一些别的脚本攻击
有些程序没有对cookie或者session进行过滤和检查,就造成了用户可以非法修改提交页面,自己提交修改数据,比如像海阳顶端网木马的以前版本对session没有过滤,我们就可以饶过密码的验证来到达真正的页面,还有就是post提交的问题,像leadbbs的2.77版本就是没有充分的过滤,我们就可以把管理员的密码修改成自己的密码!
还有一个脚本的攻击例子,在Discuz! 2.0 论坛里,因为个人属性缺乏必要的安全确认,所以很容易诱使其他会员自动修改其个人属性内容,特别是注册邮件信息,这关系着登陆密码的修改。
比如我们发个帖子,写上
诱使会员点击这个页面后,就会自动修改该会员注册的email地址为crack.x.h2163.com。当然为了隐蔽性,可以更新后自动关闭,然后调用另外一个假地址。
当然我们也可以利用这个漏洞进行欺骗、隐藏来诱惑管理员来修改我们为管理员等等!大家自己去学习吧!
看了这么多枯燥的东西下面我们再来看看另外一个好玩的漏洞,在百渡里搜索”传奇留言薄“找几个免费的留言本进去,找到他的登陆页面,我找到的一个是:
我们再来看看下面这个连接:
哈,怎么我们就闯入后台了!!!
什么原因,自己去琢磨吧!
后记:脚本的攻击可以说是防不胜防的,我们所要做的只能是提高编写程序的严谨态度,人为的因素在脚本攻击中是最重要的!
声明:本文提到的漏洞都有一定的攻击性,我们的目的是探讨技术,搞破坏的是小人!所造成的一切后果于作者无关!由于作者水平有限,文中难免有错误之处,欢迎指出!