EeSafe安全交流中心

 找回密码
 注册EeSafe

QQ登录

只需一步,快速开始

查看: 8185|回复: 28

[经验分享] EeSafe:网站安全是一把锋利的双刃剑 [复制链接]

Rank: 7Rank: 7Rank: 7

  • TA的每日心情
    奋斗
    2012-10-27 14:34
  • 签到天数: 18 天

    [LV.4]偶尔看看III

    帖子
    102
    精华
    4
    积分
    641
    经验值
    571
    安全币
    0
    在线时间
    34 小时
    发表于 2012-3-28 21:12:56 |显示全部楼层
    本帖最后由 豆包 于 2012-4-2 19:05 编辑

    网站安全是网络安全的一部分,网络安全是信息安全的一部分,这里我们说网站安全是一把双刃剑,其实信息安全也是一把双刃剑。这里我们抛开信息安全不谈(目前国内现状和国际的不同),我们只说网站安全。那么为什么网站安全是一把双刃剑呢。

    记得以前我在eesafe上发过一篇“实践有效的网站挖掘SQL注入”的文章,还有其姐妹篇,是关于sq注入防范的。在挖据注入中提到过几个步骤,具体的解释大家可以看之前的文章,大致为[判断脚本系统]—[发现注入点] —[扫描注入漏洞] —[特殊注入点的判断] —[判断数据库类型] —[判断数据库中的表结构] —[判断数据库表中字段的结构] —[构造注入语句进行注入],这些是eesafe网站安全联盟在帮助网站挖掘注入点时使用的方法和流程,那如果是一个恶意的网站攻击者,他又会怎样挖掘网站的漏洞从而达到控制网站服务器的目的呢。

    其实我们做的他都做了,确实是这样,只是如果要达到他恶意控制网站服务器的目的,那还要做好多步。这里我从eesafe在帮助网站解决被入侵的案例中还原网站攻击者的操作步骤。

    首先,他做的就是我们在上面列举的挖掘注入的流程,几乎一模一样,因为他也必须通过挖掘和比对注入点才能确定可利用的攻击点。之后,恶意的网站攻击者会做

    1、寻找管理员后台地址登陆(通过猜测或源码搜寻手段查找管理后台,用得到的管理员密码帐号登陆)。

    2、通过后台获得webShell(将含有特殊脚本页面(webShell)上传到网站服务器便于长期隐藏控制)。

    3、获取整个网站服务器目录(利用扩展存储或其他方式获得整个服务器文件目录)。

    4、下载整个数据库内容(结合存储目录,将整个网站数据库打包下载)。

    5、修改服务器注册表(利用数据库特殊扩展存储或其他方式获得会话连接修改服务器注册表)。

    6、利用数据库功能导入木马或使用webshell(利用数据库或特殊脚本页面将木马上传到网站服务器)。

    7、创建服务器管理员账户(利用木马创建用户,提升用户权限,最终通过终端连接服务器,权权控制)。

    所以我们说网站安全是一把双刃剑,恶意的攻击者如果掌握了这把双刃剑的招式,他会横扫网站江湖,把所有安全意识薄弱的网站掌入囊中,网站的源码、用户资料、网站服务器的控制权等等全在其掌握之中,任其拳脚。但如果网站站长或管理者能够掌握这么双刃剑(我觉得不难,毕竟网站好方面双刃剑的招数比恶意攻击者少好几招),或者利用eesafe网站安全联盟提供的安全平台挥完招数,我想攻击者也就无处下手,无招可用了。

    原创文章,纯手打,转载请注明版权归属:EeSafe网站安全联盟

    转载请以链接形式注明原文地址:EeSafe网络安全论坛http://www.eesafe.com/bbs/thread-384-1-1.html

    使用道具 举报

    Rank: 1

  • TA的每日心情
    开心
    2012-4-5 09:38
  • 签到天数: 1 天

    [LV.1]初来乍到

    帖子
    5
    精华
    0
    积分
    17
    经验值
    16
    安全币
    6
    在线时间
    0 小时
    发表于 2012-4-5 09:51:11 |显示全部楼层
    安全真的很难做啊
    http://www.nhyes.com
    http://www.fengjiaren.com

    使用道具 举报

  • TA的每日心情
    奋斗
    2012-7-23 13:06
  • 签到天数: 1 天

    [LV.1]初来乍到

    帖子
    6
    精华
    0
    积分
    -10
    经验值
    -10
    安全币
    0
    在线时间
    0 小时
    发表于 2012-7-23 14:21:25 |显示全部楼层
    dddddddddddd
    1

    查看全部评分

    使用道具 举报

    Rank: 1

  • TA的每日心情
    擦汗
    2012-8-1 14:09
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    帖子
    22
    精华
    0
    积分
    76
    经验值
    71
    安全币
    0
    在线时间
    3 小时
    发表于 2012-7-28 12:08:39 |显示全部楼层
    我要把技术贴看完!长长见识...

    使用道具 举报

    Rank: 1

  • TA的每日心情
    开心
    2012-9-6 10:48
  • 签到天数: 9 天

    [LV.3]偶尔看看II

    帖子
    19
    精华
    0
    积分
    68
    经验值
    64
    安全币
    0
    在线时间
    3 小时
    发表于 2012-8-24 10:29:51 |显示全部楼层
    政府单位网站,我是被安全问题,搞的晕头转向。真是衰啊!!!

    使用道具 举报

    Rank: 3Rank: 3

  • TA的每日心情
    无聊
    2012-9-28 17:50
  • 签到天数: 1 天

    [LV.1]初来乍到

    帖子
    2
    精华
    0
    积分
    12
    经验值
    12
    安全币
    0
    在线时间
    0 小时
    发表于 2012-9-28 18:15:15 |显示全部楼层
    就好比那句话···打江山容易,守江山难啊。我们在明,他们在暗处,而且很多东西,都是专门针对性的··

    使用道具 举报

    Rank: 1

  • TA的每日心情
    开心
    2012-11-7 11:15
  • 签到天数: 6 天

    [LV.2]偶尔看看I

    帖子
    24
    精华
    0
    积分
    30
    经验值
    27
    安全币
    0
    在线时间
    2 小时
    发表于 2012-10-17 15:13:28 |显示全部楼层
    借鉴一下,谢谢楼主贡献!

    使用道具 举报

    Rank: 1

  • TA的每日心情
    开心
    2012-10-30 09:31
  • 签到天数: 1 天

    [LV.1]初来乍到

    帖子
    4
    精华
    0
    积分
    18
    经验值
    18
    安全币
    0
    在线时间
    0 小时
    发表于 2012-10-30 09:47:38 |显示全部楼层
    安全从根源做起,那就是要保证源代码安全性,尽可能减少网站风险!!

    使用道具 举报

    Rank: 1

  • TA的每日心情
    开心
    2012-10-31 08:54
  • 签到天数: 2 天

    [LV.1]初来乍到

    帖子
    43
    精华
    0
    积分
    15
    经验值
    14
    安全币
    0
    在线时间
    0 小时
    发表于 2012-10-30 09:51:01 |显示全部楼层
    安全问题一直就这样   没法说好坏  但总的来说这款软件还是好处多吧

    使用道具 举报

    Rank: 1

  • TA的每日心情
    开心
    2012-11-19 20:04
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    帖子
    25
    精华
    0
    积分
    34
    经验值
    31
    安全币
    0
    在线时间
    2 小时
    发表于 2012-11-17 18:19:16 |显示全部楼层
    好经验,好版主

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册EeSafe

    Archiver|EeSafe网站安全联盟

    GMT+8, 2018-1-19 01:53 , Processed in 0.079819 second(s), 15 queries .

    Powered by Discuz! X2

    © 2001-2011 Comsenz Inc.

    回顶部