- 掛牌上市企業(yè)
- 60秒人工響應(yīng)
- 99.99%連通率
- 7*24h人工
- 故障100倍補(bǔ)償
黑客入侵手段與防御攻略 |
| 發(fā)布時(shí)間: 2012/5/28 14:45:46 |
|
現(xiàn)在黑客進(jìn)行網(wǎng)站入侵的第一種技術(shù)就是注入攻擊,包括服務(wù)器的一些較為流行的攻防技術(shù)。在講解網(wǎng)站安全攻防技術(shù)之前,我想做個(gè)調(diào)查:現(xiàn)在大家在運(yùn)營(yíng)自己的網(wǎng)站的時(shí)候,遇到過(guò)黑客入侵過(guò)的站長(zhǎng)請(qǐng)按1,沒有請(qǐng)按2……哇,居然有這么多被黑客入侵過(guò)的朋友,那我想今天大家來(lái)對(duì)了。 現(xiàn)在黑客進(jìn)行網(wǎng)站入侵的第一種技術(shù)就是注入攻擊,這是一種很多網(wǎng)站普遍遇到的安全問題,很多網(wǎng)絡(luò)程序員在編寫網(wǎng)站程序的時(shí)候,都沒有注意到對(duì)URL訪問數(shù)據(jù)庫(kù)作出限制,主要是編寫動(dòng)態(tài)操作數(shù)據(jù)庫(kù)的ASP/ASP.NET/PHP/jsp(SUN企業(yè)級(jí)應(yīng)用的首選)等語(yǔ)言。那我舉一個(gè)簡(jiǎn)單的例子大家看看這個(gè)網(wǎng)站 http://219.221.200.61/2004/show.aspid=52 大家可以在這個(gè)網(wǎng)站網(wǎng)址后面加上一個(gè)單引號(hào)然后再打開看看,頁(yè)面就無(wú)法顯示了,然后再輸入and1=1,再看結(jié)果;然后再輸入and1=2,再看結(jié)果。如果輸入and1=1和and1=2頁(yè)面返回的結(jié)果不一樣,那么就說(shuō)明網(wǎng)站有注入漏洞。 注入漏洞的類型有好幾種:包括字符型注入,搜索型注入。各種注入都是萬(wàn)變不離其中,都是為了列舉數(shù)據(jù)庫(kù)的內(nèi)容,拿數(shù)據(jù)庫(kù)主要就是為了進(jìn)后臺(tái)傳WEB木馬。 所以第二個(gè)黑客入侵的手段是利用上傳漏洞進(jìn)行入侵。上傳漏洞是由于很多網(wǎng)站需要用戶上傳照片,用戶資料等功能所造成的,只不過(guò)現(xiàn)在都要用一些專業(yè)的工具來(lái)上傳,很多工具都還是可以繞過(guò)上傳文件限制來(lái)傳WEB木馬,所以上傳這一塊功能方面要盡量多設(shè)置一些安全防御措施。 比如:第一,限制上傳文件類型;第二,設(shè)置一個(gè)專門的上傳文件夾,給這個(gè)文件夾只有查看的權(quán)限,而沒有運(yùn)行腳本的權(quán)限;第三,安裝一些安全軟件,包括殺毒軟件和IPS系統(tǒng)之類的;第四,限制上傳文件大小。 剛才我們講的兩塊主要是側(cè)重于ASP+ACCESS方面的黑客入侵技術(shù),下面講的主要是側(cè)重于ASP+SQL的安全攻防技術(shù)。 很多條件好點(diǎn)的站長(zhǎng)都有自己的服務(wù)器了,而且隨著用戶訪問量的不斷增長(zhǎng),很多人都改用速度更快,容量更大的SQL數(shù)據(jù)庫(kù)了。因此,這方面也引起了黑客的關(guān)注。 SQL的SA帳號(hào)就是系統(tǒng)管理員帳號(hào),如果黑客利用到網(wǎng)站的注入漏洞就很容易獲取系統(tǒng)的最高權(quán)限,一旦黑客獲取了最高權(quán)限,完全可以用NBSI等注入工具來(lái)建立系統(tǒng)帳號(hào),并且利用3389端口遠(yuǎn)程登錄進(jìn)去,這一塊的技術(shù)就是SA注入攻擊方式。前幾年國(guó)內(nèi)外網(wǎng)絡(luò)游戲被黑客入侵大部分都是黑客利用SA注入漏洞的技術(shù)手段來(lái)入侵的。 我們剛才講了SQL的SA權(quán)限的入侵技術(shù),那么SQL總共有哪幾種權(quán)限呢?是不是只有SA權(quán)限是會(huì)被黑客利用的?錯(cuò)了,除了最高的SA權(quán)限之外,DBOWNER和PUBLIC等權(quán)限都有被黑客利用的可能。 SQL權(quán)限的高低順序依次是SA,DBOWNER,PUBLIC。 DBOWNER這一塊的黑客入侵技術(shù)主要一種方式是差異化備份技術(shù),這是黑客利用數(shù)據(jù)庫(kù)的備份功能,把一些一句話木馬通過(guò)數(shù)據(jù)庫(kù)備份到一個(gè)指定的目錄里面,然后通過(guò)C/S木馬上傳WEB木馬,然后用WEB木馬來(lái)提權(quán),獲取系統(tǒng)權(quán)限,最后這個(gè)PUBLIC也有可能會(huì)被黑客利用,黑客利用這種權(quán)限只能列舉數(shù)據(jù)庫(kù),所以這種方式黑客會(huì)列舉出后臺(tái)帳號(hào)和密碼,然后利用后臺(tái)上傳WEB木馬。 在這里我要告訴大家的是,黑客的入侵手段有很多種搭配方式。我們來(lái)分析一下黑客的各類入侵手段的分類。注入漏洞和上傳漏洞都是入侵技術(shù)。而把權(quán)限提升為最高權(quán)限在黑客的術(shù)語(yǔ)中被成為提權(quán),然后黑客拿到最高權(quán)限之后,有一部分會(huì)進(jìn)行掛馬,有的會(huì)去竊取網(wǎng)站資料,最后一步就是清除日志,這是黑客的掃尾工作。這幾種方式當(dāng)中的每一種都有很多個(gè)不同的入侵方式,所以可以進(jìn)行自由搭配,這樣延伸出來(lái)的黑客技術(shù)就會(huì)有很多種。 二、如何防御黑客的入侵? 好了,我們現(xiàn)在再來(lái)給大家講解一下面對(duì)這些黑客的入侵手段,我們?cè)趺磥?lái)防御。 首先,注入漏洞這一塊。我們現(xiàn)在有一種防御方面,我們公司自己編寫了一個(gè)ASP防注入代碼,把防注入代碼加入到連接數(shù)據(jù)庫(kù)的文件里面,就可以有效的防御大部分的注入漏洞,這個(gè)代碼我明天會(huì)發(fā)給一方,一方會(huì)統(tǒng)一發(fā)給大家的。好,然后上傳漏洞這一塊我們?cè)趺磥?lái)防御呢? 第一,限制上傳類型,只允許用戶用到的文件類型;第二,指定一個(gè)專門的文件夾,這個(gè)文件夾里面的文件都不給腳本運(yùn)行權(quán)限,這樣黑客即使傳了ASP木馬上去,但是也不能運(yùn)行,除了IIS擴(kuò)展里面允許的這些擴(kuò)展名之外,其它的都不能運(yùn)行,黑客傳上一些非ASP的文件之后,是不能正常運(yùn)行的,除了IIS擴(kuò)展里面允許的這些擴(kuò)展名之外,其它的都不能運(yùn)行,所以IIS擴(kuò)展里面盡量把一些不需要的擴(kuò)展名都給刪除掉。 其次,對(duì)于SA注入這一塊。SA注入是黑客利用SQL的最高權(quán)限SA來(lái)進(jìn)行注入攻擊的一種方式,剛才也講過(guò)了SA注入攻擊的一些技術(shù)方式,為了防止黑客利用SA權(quán)限進(jìn)行入侵,那么所有的網(wǎng)站數(shù)據(jù)庫(kù)都不要給SA權(quán)限,最多給一個(gè)DBOWNER權(quán)限,如何設(shè)置SQL權(quán)限?建立SQL帳號(hào)的時(shí)候就可以設(shè)置了。這個(gè)比較簡(jiǎn)單,你看看SQL數(shù)據(jù)庫(kù)的操作的時(shí)候就可以看到,而且只給予訪問本數(shù)據(jù)庫(kù)的權(quán)限,其它的權(quán)限都不要給。對(duì)于DBOWNER和PUBLIC注入,主要把注入點(diǎn)屏蔽掉,這樣就可以防止黑客通過(guò)數(shù)據(jù)庫(kù)權(quán)限來(lái)獲取系統(tǒng)權(quán)限,然后對(duì)于一些有服務(wù)器的網(wǎng)站用戶來(lái)說(shuō),對(duì)于端口這一塊最好要多做一些限制,除了一些系統(tǒng)本身所需要的端口之外,其它的端口都關(guān)閉掉,而且3389端口最好改一個(gè),這個(gè)通過(guò)操作注冊(cè)表就可以實(shí)現(xiàn),這里有修改3389端口的具體方法,比較容易。 本文出自:億恩科技【www.23lll.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |
0371-60135900
京公網(wǎng)安備41019702002023號(hào)
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
