- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Web 安全攻防实验
【实验原理】
一、 WEB 攻击的常用方式
(1) 下载数据库
由于现有的很多网站都采用了使用整站程序的搭建方式, 因此导致黑客可以很容易的知
道该程序的默认数据库路径, 从而对网站最核心的数据库进行下载然后进行本地的破解, 从
而达到入侵的目的。
(2) 上传漏洞
最典型的莫过于动易 2006 整站系统,由于 Win2003 存在着一个文件解析路径的漏动,
即当文件夹名为类似 xxx.asp 的时候 ( 即文件夹名看起来像一个 ASP 文件的文件名 ),此时此
文件夹下的文本类型的文件都可以在 IIS 中被当做 ASP 程序来执行。而动易 2006 整站系统
在注册用户时, 会默认的为该用户生成一个以该用户名为文件名的目录, 因此黑客可以通过
利用 Win2003 文件解析路径的漏洞,来上传文件从而达到入侵的目的。
(3) SQL 注入
网站在通过脚本调用数据库时, 由于对调用语句的过滤不严格, 导致黑客可以通过构造
特殊语句来访问数据库,从而得到网站的重要信息,比如:管理员账号、管理员密码等。
(4) 旁注
由于目标站点不存在漏洞, 所以黑客会对与目标站点同一个主机或同一网段的站点进行
入侵,入侵成功之后再对目标站点进行渗透,从而达到入侵目标站点的目的。
二、 攻击过程中运用的知识
(1) MD5
MD5 的全称是 Message-Digest Algorithm 5( 信息 -摘要算法 ), MD5 以 512 位分组来处理
输入的信息, 且每一分组又被划分为 16 个 32 位子分组, 经过一系列的处理后, 算法的输出
由四个 32 位分组组成,将这四个 32 位分组级联后将生成一个 128 位散列值。
在 MD5 算法中, 首先需要对信息进行填充, 使其字节长度对 512 求余的结果等于 448 。
因此,信息的字节长度 (Bits Length) 将被扩展至 N*512+448 ,即 N*64+56 个字节 (Bytes) ,N
为一个正整数。填充的方法如下,在信息的后面填充一个 1 和无数个 0,直到满足上面的条
件时才停止用 0 对信息的填充。然后,在这个结果后面附加一个以 64 位二进制表示的填充
前信息长度。 经过这两步的处理, 现在的信息字节长度 =N*512+448+64=(N+1)*512 ,即长度
恰好是 512 的整数倍。这样做的原因是为满足后面处理中对信息长度的要求。
MD5 的典型应用是对一段信息 (Message)产生信息摘要 (Message-Digest) ,以防止被篡改。
MD5 还广泛用于加密和解密技术上。比如在 UNIX 系统中用户的密码就是以 MD5( 或其它
类似的算法 )经加密后存储在文件系统中。
(2) ASP 木马
ASP 编写的网站程序。它和其它 ASP 程序没有本质区别,只要是能运行 ASP 的空间就
能运行它,这种性质使得 ASP 木马非常不易被发觉。
ASP 木马入侵原理为:先将木马上传到目标空间,然后直接在客户端浏览器里面运行
木马,接着就可以进行文件修改、目录删除等等具有破坏性的工作。
ASP 木马本身就是个 ASP 文件。 所以很关键的一点是限制 ASP 文件的上传。 一般 ASP
网站本身就有文件上传功能,并且默认是限制了 ASP 文件的上传,不过黑客能够想方设法
您可能关注的文档
- websphere集群与负载均衡汇编.pdf
- WebSphere数据库连接池配置整理.pdf
- Web安全测试的步骤参照.pdf
- WEB版上传(ftp)控件收集.pdf
- web标准化页面制作规范归纳.pdf
- WEB测试计划大概参考.pdf
- Web程序开发安全手册V1.01归类.pdf
- WEB程序设计考试习题借鉴.pdf
- Web程序设计模拟卷定义.pdf
- WEB程序设计模拟试题1,2,3定义.pdf
- 2024浙江衢州市常山县“英才荟”事业单位紧缺急需人才招聘18人笔试备考试题及答案解析.docx
- 2024浙江省近海海洋工程环境与生态安全重点实验室招聘1人笔试备考试题及答案解析.docx
- 2024广东阳江市阳西县补充招聘森林消防应急队员5人笔试备考试题及答案解析.docx
- 2024浙江松阳县新华书店有限公司招聘见习大学生1人笔试备考试题及答案解析.docx
- 2024云南曲靖市马龙区部分事业单位选调(含选调计划)26人笔试备考试题及答案解析.docx
- 2024广西柳州市残疾人劳动就业服务中心招聘残疾人专职委员1人笔试备考试题及答案解析.docx
- 2024广西河池市总工会公开招聘社会化工会工作者3人笔试备考试题及答案解析.docx
- 2024贵州华贵人寿保险股份有限公司第三次社会招聘15人笔试备考试题及答案解析.docx
- 2024广西百色市田东县5月城镇公益性岗位工作人员招聘4人笔试备考试题及答案解析.docx
- 2024广西百色市那坡县坡荷乡人民政府公开招聘编外工作人员2人笔试备考试题及答案解析.docx
文档评论(0)