正文內(nèi)容

web網(wǎng)站滲透測(cè)淺論文正稿-資料下載頁

2025-06-22 12:09本頁面

　　

【正文】管理賬戶和密碼后可以非法進(jìn)入后臺(tái)管理界面，但到這來一般并不能做多少事，用后臺(tái)權(quán)限篡改新聞掛黑頁是很無聊的事情，常見的做法是想辦法將網(wǎng)頁木馬上傳到網(wǎng)站獲取Webshell得到網(wǎng)站所在服務(wù)器的某些權(quán)限，然后有需要和可能再設(shè)法提權(quán)。如圖325所示，在Web網(wǎng)站管理后臺(tái)里找到一個(gè)能夠上傳自己圖片的地方，然后選擇上傳文件，如圖326和327所示，直接上傳asp格式的網(wǎng)馬是通不過檢查的，所以上傳一個(gè)偽裝成圖片文件的小馬，結(jié)果成功上傳，并被自動(dòng)重命名，如圖328和329所示。圖325 上傳圖片圖326 選擇文件圖327 上傳網(wǎng)馬圖片圖328 上傳成功圖329 上傳文件位置和名稱現(xiàn)在網(wǎng)馬內(nèi)容上傳上去了，但文件后綴名不對(duì)，所以不能訪問執(zhí)行，所以需要再利用類似如圖330所示的備份漏洞，將上傳的文件的后綴名成功改回asp。圖330 備份改名現(xiàn)在可以直接訪問上傳成功的網(wǎng)馬，如圖331所示是小馬的效果，利用它在上傳一個(gè)功能齊全的大馬，如圖332和333所示。圖331 訪問網(wǎng)馬圖332 上傳大馬圖333 訪問大馬現(xiàn)在可以直接訪問大馬網(wǎng)頁文件，如圖334所示，登錄成功后即得到類似圖335所示的Webshell界面，根據(jù)權(quán)限可以對(duì)Web網(wǎng)站所在的服務(wù)器進(jìn)行操作，如果有其他系統(tǒng)和軟件漏洞，還可以設(shè)法提權(quán)，獲取對(duì)服務(wù)器的完全控制權(quán)。圖334 網(wǎng)馬登錄圖335 獲取Webshell第四章 Web網(wǎng)站防護(hù) 網(wǎng)站代碼修復(fù)經(jīng)過Web滲透測(cè)試，我們發(fā)現(xiàn)了網(wǎng)站的安全漏洞及其嚴(yán)重后果，下一步自然就是部署安全防護(hù)措施，堵塞漏洞。對(duì)Web網(wǎng)站后臺(tái)代碼進(jìn)行閱讀審核后，可知正是因?yàn)榫W(wǎng)站查詢數(shù)據(jù)庫的SQL語句缺少必要的過濾措施才導(dǎo)致了SQL注入、XSS等安全漏洞。修補(bǔ)漏洞的最好辦法是用安全編碼方式徹底重寫所有相關(guān)代碼，如果沒有這個(gè)條件，添加一些過濾代碼也是比較好的辦法，例如圖41所示，在數(shù)據(jù)庫連接文檔中添加了對(duì)用戶提交值中非法參數(shù)的檢測(cè)。圖41 過濾代碼添加過濾代碼后，黑客如果再企圖對(duì)Web網(wǎng)站進(jìn)行諸如SQL注入之類的攻擊，就會(huì)被攔截而歸于失敗，如圖42所示。圖42 SQL注入被攔截需要注意的是，黑名單式的過濾代碼并不是萬能的，往往會(huì)被更高水平的黑客攻擊繞過，所以還應(yīng)根據(jù)攻防技術(shù)的發(fā)展及時(shí)更新，并結(jié)合其他安全防范措施。其它防護(hù)措施因?yàn)楝F(xiàn)在的Web網(wǎng)站功能越來越多，也越來越復(fù)雜，相應(yīng)的黑客攻擊技術(shù)也在不斷發(fā)展，所以往往不是單一的安全防護(hù)措施就能有效抵御各種滲透攻擊，而需要綜合采用各種措施，一方面盡可能將所有的安全漏洞堵住，另一方面可以爭(zhēng)取做到即使黑客攻破了某個(gè)安全措施，也會(huì)被其他安全措施攔截，將損失降低到最小。目前比較常用的Web安全防范措施有：盡量選用高版本的操作系統(tǒng)Web服務(wù)器，設(shè)置高強(qiáng)度的密碼，給網(wǎng)站目錄設(shè)置最小的必要權(quán)限，加裝Web防火墻和殺毒軟件監(jiān)控網(wǎng)頁木馬等。最后需要指出，Web滲透和防護(hù)技術(shù)還處在快速發(fā)展階段，所以沒有一勞永逸的安全，必須不斷學(xué)習(xí)，與時(shí)俱進(jìn)。總結(jié)網(wǎng)絡(luò)安全是當(dāng)前的一個(gè)技術(shù)研究熱點(diǎn)，Web安全又是網(wǎng)絡(luò)安全中的一個(gè)核心問題。Web滲透測(cè)試則是強(qiáng)化Web網(wǎng)站安全的重要技術(shù)手段，它是在獲得授權(quán)的情況下，模擬真實(shí)的黑客攻擊手段對(duì)目標(biāo)Web站點(diǎn)進(jìn)行入侵測(cè)試，因此能夠最大程度挖掘出Web網(wǎng)站的安全漏洞，為Web安全防護(hù)提供有效依據(jù)。本文是在真實(shí)網(wǎng)絡(luò)環(huán)境里自己搭建了一個(gè)Web網(wǎng)站，然后自己對(duì)其進(jìn)行滲透測(cè)試，研究Web安全相關(guān)攻防技術(shù)。限于水平，創(chuàng)建的Web網(wǎng)站和攻防所用的技術(shù)都比較簡(jiǎn)單，沒有涉及當(dāng)前最新的Web網(wǎng)站漏洞測(cè)試，但仍然比較完整地展示了Web網(wǎng)站滲透測(cè)試和防護(hù)的過程，為以后進(jìn)一步學(xué)習(xí)和工作打下良好基礎(chǔ)。參考文獻(xiàn)[1] 陳小兵，范淵， [M].北京：電子工業(yè)出版社，[2] 王文君， [M].北京：電子工業(yè)出版社，[3] [M].北京：電子工業(yè)出版社，[4] [M].北京：電子工程出版社，也不能閑死在家里！寧可去碰壁，也不能面壁。是狼就要練好牙，是羊就要練好腿。什么是奮斗？奮斗就是每天很難，可一年一年卻越來越容易。不奮斗就是每天都很容易，可一年一年越來越難。能干的人，不在情緒上計(jì)較，只在做事上認(rèn)真；無能的人！不在做事上認(rèn)真，只在情緒上計(jì)較。拼一個(gè)春夏秋冬！贏一個(gè)無悔人生！早安！—————獻(xiàn)給所有努力的人.學(xué)習(xí)參考

點(diǎn)擊復(fù)制文檔內(nèi)容

規(guī)章制度相關(guān)推薦

論文淺論谷正倫在甘肅的財(cái)務(wù)政策-資料下載頁

【總結(jié)】第1頁共6頁淺論谷正倫在甘肅的財(cái)務(wù)政策摘要谷正倫，民國時(shí)期國民黨的高級(jí)將領(lǐng)，從1940年開始治理甘肅，吏治甘肅長(zhǎng)達(dá)六年，在對(duì)于甘肅的財(cái)政建設(shè)取得一定功績(jī)。谷正倫一生起伏較大，其在甘肅執(zhí)政期間，他的財(cái)政建設(shè)舉措對(duì)經(jīng)濟(jì)、植樹造林及交通運(yùn)輸教育等方面的發(fā)展起到了一定的指導(dǎo)。本文就谷正倫在甘肅的財(cái)務(wù)政策內(nèi)容進(jìn)行整理，初步探討他的經(jīng)濟(jì)政策對(duì)甘

2025-06-04 23:47

基于java的博客網(wǎng)站設(shè)計(jì)與開發(fā)畢業(yè)論文正稿-資料下載頁

【總結(jié)】........ 編號(hào)??????中央廣播電視大學(xué)計(jì)算機(jī)與科學(xué)技術(shù)專業(yè)畢??業(yè)??論??文學(xué)

2025-06-22 17:42

中小型企業(yè)網(wǎng)站設(shè)計(jì)與實(shí)現(xiàn)論文正稿-資料下載頁

【總結(jié)】.....畢業(yè)設(shè)計(jì)（論文）題目：中小型企業(yè)網(wǎng)站的設(shè)計(jì)與實(shí)現(xiàn)系（院）：專業(yè)：

2025-06-28 04:10

正等軸測(cè)圖(正等測(cè))教學(xué)設(shè)計(jì)-資料下載頁

【總結(jié)】正等軸測(cè)圖（正等測(cè)）＜平面體部分＞課題正等軸測(cè)圖（正等測(cè)）＜平面體部分＞1課時(shí)教師班級(jí)時(shí)間2017年4月教材分析本節(jié)內(nèi)容是《機(jī)械制圖》第四章第二節(jié)內(nèi)容，主要闡述正等軸測(cè)圖各個(gè)要素及其畫法。在制圖教學(xué)中，軸測(cè)圖是發(fā)展空間思維能力的手段之一，通過畫軸測(cè)圖可幫助想像物體的形狀，培養(yǎng)空間想像能力。而正等軸測(cè)圖又是軸測(cè)圖中最為常用的一種方法，在本

2025-05-02 04:22

基于web網(wǎng)站新聞管理系統(tǒng)畢業(yè)設(shè)計(jì)論文-資料下載頁

【總結(jié)】安徽工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文）任務(wù)書信息工程系網(wǎng)頁設(shè)計(jì)班姓名王鵬畢業(yè)設(shè)計(jì)（論文）題目：基于WEB網(wǎng)站新聞管理系統(tǒng)畢業(yè)設(shè)計(jì)（論文）起止日期：指導(dǎo)教師：胡玉春畢業(yè)設(shè)

2025-11-14 18:28

電子商務(wù)網(wǎng)站的設(shè)計(jì)與實(shí)現(xiàn)畢業(yè)論文正稿-資料下載頁

【總結(jié)】........第一章緒論電子商務(wù)是一種依托現(xiàn)代信息技術(shù)和網(wǎng)絡(luò)技術(shù)，集金融電子化、管理信息化、商貿(mào)信息網(wǎng)絡(luò)化為一體，旨在實(shí)現(xiàn)物流、資金流與信息流和諧統(tǒng)一的新型貿(mào)易方式。電子商務(wù)在互聯(lián)網(wǎng)的基礎(chǔ)上，突破傳統(tǒng)的時(shí)空觀念，縮小了生產(chǎn)、流通、分配、消費(fèi)之間的距

2025-06-23 13:58

web安全滲透測(cè)試技術(shù)實(shí)踐-資料下載頁

【總結(jié)】院系學(xué)生學(xué)號(hào)編號(hào)本科畢業(yè)設(shè)計(jì)題　　目web安全滲透測(cè)試技術(shù)實(shí)踐學(xué)生姓名　　cui0x01專業(yè)名稱　指導(dǎo)教師　

2025-03-27 23:42

無砟軌道的精測(cè)和精調(diào)技術(shù)畢業(yè)論文正稿-資料下載頁

【總結(jié)】....畢業(yè)設(shè)計(jì)（論文）中文題目：無砟軌道的精測(cè)和精調(diào)技術(shù)學(xué)習(xí)中心（函授站）：專業(yè)：土木工程（鐵道工程）姓名：

2025-06-23 16:13

基于web的在線電影查詢網(wǎng)站畢業(yè)論文-資料下載頁

【總結(jié)】吉林大學(xué)珠海學(xué)院畢業(yè)論文（設(shè)計(jì)）基于Web的在線電影查詢網(wǎng)站W(wǎng)eb-basedonlinemoviequerywebsite完成日期2021年1月19日吉林大學(xué)珠海學(xué)院本科畢業(yè)論文（設(shè)計(jì)）開題報(bào)告摘要隨著網(wǎng)絡(luò)信息技術(shù)的運(yùn)用不斷地?cái)U(kuò)大，信息交流給人們的生活方式帶來了很大的變化。電影查詢網(wǎng)站是集各種信息及各

2025-02-26 10:53

順德美食論文正稿-資料下載頁

【總結(jié)】.....廣東技術(shù)師范學(xué)院本科生課程論文課程名稱：文化人類學(xué)學(xué)生姓名：胡健華年級(jí)、專業(yè)：12應(yīng)用電子技術(shù)教育2班指導(dǎo)教師：陳曦

2025-06-26 11:33

防雷接地論文正稿-資料下載頁

【總結(jié)】.....論移動(dòng)通信CDNA網(wǎng)絡(luò)基站防雷接地的重要性職稱類型：工程師

2025-06-27 16:17

民法本科論文正稿-資料下載頁

【總結(jié)】.....本科生畢業(yè)論文論文題目：董事會(huì)中心主義與股東會(huì)中心主義之比較以及在中國之實(shí)踐學(xué)院：法學(xué)院年級(jí)：**級(jí)專業(yè)：法學(xué)姓名：***

2025-06-28 20:09

教育實(shí)習(xí)論文正稿-資料下載頁

【總結(jié)】.....遼寧師范大學(xué)教育研究論文(2013屆本科題目:學(xué)院:專業(yè):姓名:指導(dǎo)教師:完成日期:2012年10月24日端正學(xué)習(xí)態(tài)度學(xué)好中學(xué)化學(xué)摘要:實(shí)習(xí)過程中遇到的教學(xué)問題,學(xué)

2025-06-24 16:06