當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

對(duì)某高技學(xué)校網(wǎng)站的安全檢測(cè)和加固

http://www.yibo1263.com　2008-12-10 8:09:52 　來(lái)源:51CTO 　編輯:葉子

　　雖然今年金融危機(jī)給人們帶來(lái)了“酷冬”，我國(guó)經(jīng)濟(jì)收到明顯影響，到處都在傳某某公司準(zhǔn)備裁多少人！感覺這個(gè)冬天特別冷，在寫這篇文章的時(shí)候，俺仍然感覺很冷，加入安天365這個(gè)團(tuán)隊(duì)，讓俺感覺很溫暖，在這個(gè)物欲橫流，唯利是圖的時(shí)候還有人對(duì)技術(shù)如此執(zhí)著，對(duì)網(wǎng)絡(luò)安全技術(shù)進(jìn)行系統(tǒng)研究，那是何等的一種精神，我很欣賞團(tuán)隊(duì)中的一句話：技術(shù)需要沉淀，學(xué)習(xí)是一個(gè)漸進(jìn)的過程，時(shí)間長(zhǎng)了，即使是一塊頑石，我也能把它滴穿！

　　今天發(fā)現(xiàn)的是一所技工學(xué)校，先對(duì)其進(jìn)行安全檢測(cè)，然后對(duì)其出現(xiàn)漏洞的地方進(jìn)行了防范，下面將漏洞挖掘、分析和修補(bǔ)過程寫出來(lái)跟大家分享。

　�。ㄒ唬┞┒赐诰�

　　1.獲取初步信息

　　某天simeon在群里發(fā)了一個(gè)IP地址，讓眾兄弟們看看看看網(wǎng)站安全性如何，說是有獎(jiǎng)勵(lì)。（某人偷笑ing：有獎(jiǎng)勵(lì)好啊！俺就好這口）。首先打開網(wǎng)站看看網(wǎng)站能否訪問，一看原來(lái)是個(gè)高級(jí)技工學(xué)校的網(wǎng)站，如圖1所示，這幾天搞學(xué)校的網(wǎng)站搞出毛病了，一看到學(xué)校網(wǎng)站就兩眼放光，因?yàn)閷W(xué)校網(wǎng)站院系眾多，而且網(wǎng)站更新比較緩慢，一套程序可能用上幾百年也不一定換，所以漏洞自然也少不了，因此總的來(lái)說搞學(xué)校網(wǎng)站還是相對(duì)容易的。

　　

圖1 查看網(wǎng)站基本情況　　

　　說明：

　　由于發(fā)來(lái)的是一個(gè)IP地址，因此需要先看看該地址時(shí)候在默認(rèn)80端口開放了Web服務(wù)，然后看看是使用什么語(yǔ)言，當(dāng)然也可以直接將地址放入SQL注入掃描工具中進(jìn)行SQL注入點(diǎn)檢測(cè)。

　　2.查看端口開放情況

　　使用“sfind –p 222.134.217.206”命令查看該服務(wù)器端口開放情況，如圖2所示，計(jì)算機(jī)開放了21、80以及4899端口，看到這里，嘿嘿，俺覺得該服務(wù)器的安全應(yīng)該不是太高，可以拿到權(quán)限。

　　

圖2 查看端口開放情況　　

　　3.查看系統(tǒng)功能

　　通過網(wǎng)站的導(dǎo)航條查看網(wǎng)站系統(tǒng)是自己開發(fā)的還是直接從網(wǎng)上搬來(lái)的，在該學(xué)校網(wǎng)站的導(dǎo)航條中有“校園論壇”鏈接，打開一看原來(lái)是dvbbs8.2的論壇，如圖3所示。后面該學(xué)校網(wǎng)站其它功能模塊進(jìn)行了查看，沒有發(fā)現(xiàn)有CMS等，初步估計(jì)網(wǎng)站除論壇外，其余程序是定制開發(fā)。

　　圖3 系統(tǒng)使用了動(dòng)感論壇

　　說明：

　　前期工作做到位，可以減少很多工作量，通過查看系統(tǒng)是否采用CMS、是否使用網(wǎng)上流行論壇等，從而進(jìn)行針對(duì)性的安全檢測(cè)�！　�

本新聞共6頁(yè),當(dāng)前在第1頁(yè) 1 2 3 4 5 6

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·網(wǎng)站安全通用專用保護(hù)方法和缺陷

·企業(yè)網(wǎng)站建設(shè)之企業(yè)網(wǎng)站安全性分析

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费