一、經典漏洞
'or' '='
這樣的漏洞解決起來也是比較容易的,過濾用戶名和密碼即可,不過也常常被忽視。
二、驗證用戶權限漏洞
cookies保存在本地機子上記錄用戶的一些信息,顧在本地可以進行惡意修改
session保存在服務器上,較佔用服務器資源。
防止此類漏洞的辦法是進行雙重驗證。
三、垮站***漏洞
例子:<script>alert("test only alert dialog box")</script>
這僅僅是彈出一對話框,可想而知,掛馬或者跳轉其他站點便很容易實現。
此類漏洞如被***利用,後果很嚴重,首先受害者是瀏覽網頁的用戶。
解決方案:過濾 < > % ASCⅡ碼等,簡單的也可以通過限制表單長度解決。
四、注入***漏洞
http://www.*****.com/edit.asp?id=8
edit.xxx? xxx=???
' 判定是否出錯
' and 1=1
' and 1=2 通過後倆個看其頁面是否相同,如1正常,2不正常,則可斷定有注入點。
../union select 1,2,3,4,5,6,7 form admin 直接對數據進行查詢
防止這樣的漏洞是過濾 ' " 及ASCⅡ碼。
五、數據庫漏洞
1、防下載沒有做好
<% %>
對於一些.asp和.php網站來說, ../date/#difedate.asp
可以 ../date/%23difedate.asp
2、利用跨漏洞寫shell
如寫藍屏***
總結:所謂漏洞,就是不易被發覺的弱點,想成功***可不是件容易的事,教程之類也只是說說而已,多爲理論,不可不看,也不可多看,關鍵還是靠自己去多鑽研測試。筆記記的較粗略,不過也說明了基本問題,感興趣的慢慢領悟吧。
網站漏洞分析
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.