yd1227 - 2009-4-15 13:17:00
这篇短文,也是从论坛上用户们经常讨论的sql注入、xss、挂马等案例引发而来。
无论是sql注入、xss,还是哪一种的web应用攻击,大多是借助网站自身的漏洞来实现,比如对特殊字符串的处理,函数的非法调用等。存在sql注入的网站太多了,据某官方统计,中国60%以上的网站都存在不同程度的sql注入
对于不一定很专业的普通用户来说,他们希望用最浅显易做的方式来弥补漏洞。
我这篇文章,不会介绍太多,因为网上已经有大量的文章讲sql注入的原理,甚至手把手教人怎么注入了
一.常见的论坛漏洞归纳
堵住漏洞还是主要的
DVBBS论坛漏洞
http://www.nsfocus.net/index.php?os=&type_id=&keyword=DVBBS&act=sec_bugphpbb论坛漏洞
http://www.nsfocus.net/index.php?os=&type_id=&keyword=phpbb&act=sec_bugVBB论坛漏洞
http://www.nsfocus.net/index.php?os=&type_id=&keyword=vBulletin&act=sec_bugIPB论坛漏洞
http://www.nsfocus.net/index.php?os=&type_id=&keyword=Invision+Power+Board&act=sec_bugphpnuke论坛漏洞
http://www.nsfocus.net/index.php?os=&type_id=&keyword=phpnuke&act=sec_bugLB5000论坛漏洞
http://www.nsfocus.net/index.php?os=&type_id=&keyword=LB5000&act=sec_bugNsfocus漏洞库里缺少PHPWind,Discuz, DVBBS这些国内常见论坛的漏洞纪录。漏洞信息可以在securityfocus查到。
Discuz:
http://www.securityfocus.com/bid/14564/infohttp://www.securityfocus.com/bid/14564/infohttp://www.securityfocus.com/bid/14564/infoDVBBS:
http://www.securityfocus.com/bid/14223/infoPHPWind
http://www.securityfocus.com/bid/12207/infoVBB:
http://www.securityfocus.com/bid/15075http://www.securityfocus.com/bid/15073http://www.securityfocus.com/bid/15068http://www.securityfocus.com/archive/1/413024还有一些不大出名的国内论坛程序,漏洞比较老了。也查不到哪个漏洞库有记录。
6K论坛v3.0漏洞
BBS2000,BBS3000的多个变量未过滤漏洞
BBSXP多个漏洞
DVBBS低版本多个漏洞
乔客论坛漏洞
54NB article 1.6文章系统漏洞
Myarticle文章系统漏洞
青创文章系统漏洞
夜猫文章系统漏洞
.....
二.如何为自己的网站扫描漏洞
1.手工检测。这种方法局限性很大
2.使用工具
我经常用的是IBM的appscan,和webinjection
他们两个扫描的能力非常强
但是这两个工具都很大,而且需要破解。另外,他们俩都有误报,但是可以自己验证,比如appscan有一个show in browser,点一下,如果出现页面无法显示,那就是误报了。
三.对于网页挂马
据我所知,有十种常见的挂马方式
最简单的还是iframe方式和javascript加密式
有的用户提到自己的网站删掉挂马连接又立刻生成,我想到两种手段,一是后门,二是sql注入
有问题,咱们再探讨
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727)
zoxmes - 2009-4-15 20:08:00
:default6: :default6: 很赞,谢谢收集。这帖先收集了:)
快乐的幸运 - 2009-4-17 13:27:00
该用户帖子内容已被屏蔽
© 2000 - 2024 Rising Corp. Ltd.