資源描述:
《淺談微軟系統(tǒng)網(wǎng)站漏洞捕捉利用》由會員上傳分享���,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。
1����、為了確保“教學(xué)點(diǎn)數(shù)字教育資源全覆蓋”項(xiàng)目設(shè)備正常使用�,我校做到安裝�、教師培訓(xùn)同步進(jìn)行�����。設(shè)備安裝到位后�����,中心校組織各學(xué)點(diǎn)管理人員統(tǒng)一到縣教師進(jìn)修學(xué)校進(jìn)行培訓(xùn)�,熟悉系統(tǒng)的使用和維護(hù)�。淺談微軟系統(tǒng)網(wǎng)站漏洞捕捉利用 摘要:將微軟操作系統(tǒng)下的漏洞捕捉利用的方法為研究對象,側(cè)重分析和捕捉旁注入侵的利用方法�����,為WEB站點(diǎn)漏洞修補(bǔ)提供更多迅速�、便利的偵測捕捉利用?����! £P(guān)鍵詞:結(jié)構(gòu)化查詢語句旁注�����;漏洞捕捉;木馬頁面 中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009--0037-02 改革開放不斷深入���,互聯(lián)網(wǎng)的體量和增量速度不斷發(fā)展壯大�����,
2����、高速互聯(lián)網(wǎng)日益普及���,網(wǎng)絡(luò)終端應(yīng)用不斷普及�,計(jì)算機(jī)網(wǎng)絡(luò)安全問題越來越受到關(guān)注�����,信息安全在計(jì)算機(jī)網(wǎng)絡(luò)中扮演的角色越來越重要�����?��! ∮?jì)算機(jī)網(wǎng)絡(luò)安全問題在基于微軟視窗平臺的應(yīng)用方面更加值得關(guān)注����,某些方面不安全也確實(shí)令人擔(dān)憂,拒絕服務(wù)攻擊�、基于數(shù)據(jù)庫平臺的代碼注入�、操作系統(tǒng)漏洞捕捉利用、木馬插件�、木馬郵件、垃圾信息等安全防范領(lǐng)域困擾層出不窮[1]�。探討漏洞捕捉和利用方法,發(fā)現(xiàn)其共同特性�����,能夠幫助解決問題和克服困難���,在指導(dǎo)計(jì)算機(jī)網(wǎng)絡(luò)安全方面的工作有所幫助�。我們將談?wù)撚?jì)算機(jī)系統(tǒng)漏洞捕捉利用��,結(jié)構(gòu)化查詢語句注入�、木馬頁面利用、分布式拒絕服務(wù)等方面的
3��、入侵和攻擊方法��,并企圖通過分析來探討計(jì)算機(jī)網(wǎng)絡(luò)形成的高速互聯(lián)網(wǎng)的安全問題?! ?結(jié)構(gòu)化語句旁注入侵為了充分發(fā)揮“教學(xué)點(diǎn)數(shù)字教育資源全覆蓋”項(xiàng)目設(shè)備的作用,我們不僅把資源運(yùn)用于課堂教學(xué)�,還利用系統(tǒng)的特色欄目開展課外活動,對學(xué)生進(jìn)行安全教育���、健康教育���、反邪教教育等豐富學(xué)生的課余文化生活。為了確?!敖虒W(xué)點(diǎn)數(shù)字教育資源全覆蓋”項(xiàng)目設(shè)備正常使用,我校做到安裝�����、教師培訓(xùn)同步進(jìn)行���。設(shè)備安裝到位后���,中心校組織各學(xué)點(diǎn)管理人員統(tǒng)一到縣教師進(jìn)修學(xué)校進(jìn)行培訓(xùn),熟悉系統(tǒng)的使用和維護(hù)���?�! ∨宰⑷肭滞ㄟ^正常訪問3W端口來進(jìn)行偵測�。表面上和正常訪問網(wǎng)站網(wǎng)頁沒什么
4、不同的���,主流的防火墻安全系統(tǒng)并不會對旁注入侵進(jìn)行警報(bào)��,也無法進(jìn)行鑒別����,在網(wǎng)站系統(tǒng)管理者未查web服務(wù)器日志的情況下造成被入侵很久都未必會他們發(fā)現(xiàn)[2]��?��! ‰m然這樣,注入是一種靈活有效的方法���,但在操作時(shí)往往會遇到這樣那樣的特殊情形���。應(yīng)該依據(jù)具體不同情況具體分析,能否構(gòu)建一句精巧的旁注偵測結(jié)構(gòu)化查詢語句�,獲得提取到預(yù)期的信息和數(shù)據(jù),則要依靠入侵操作者的平時(shí)知識積累水平和運(yùn)氣情況���?! ∽⑷氲脑怼 ≌埧匆粋€(gè)實(shí)例:在網(wǎng)站上,如果有一個(gè)鏈接���,地址如下:http:///../�����?idd=2���,注入者可以在地址后加一個(gè)單引號',網(wǎng)站W(wǎng)EB服務(wù)器計(jì)
5�、算機(jī)將會應(yīng)要求反饋如下的錯(cuò)誤提示: [MicrosoftJETDatabaseEngine錯(cuò)誤'80040e14' 字符串的語法錯(cuò)誤在查詢表達(dá)式'IDD=2''中?���! ?,行4]在上面這一錯(cuò)誤提示信息����,可以發(fā)現(xiàn)下面幾點(diǎn)有意義的信息: 1)網(wǎng)絡(luò)Server上安裝微軟的MS-Access數(shù)據(jù)庫并設(shè)置JET-OLE鏈接?! ?)編程人員在代碼中未判斷用戶端提交的數(shù)據(jù)對于程序的合規(guī)性。為了充分發(fā)揮“教學(xué)點(diǎn)數(shù)字教育資源全覆蓋”項(xiàng)目設(shè)備的作用�,我們不僅把資源運(yùn)用于課堂教學(xué)�,還利用系統(tǒng)的特色欄目開展課外活動�,對學(xué)生進(jìn)行安全教育、健康教育��、
6�����、反邪教教育等豐富學(xué)生的課余文化生活��。為了確?!敖虒W(xué)點(diǎn)數(shù)字教育資源全覆蓋”項(xiàng)目設(shè)備正常使用��,我校做到安裝�����、教師培訓(xùn)同步進(jìn)行�。設(shè)備安裝到位后,中心校組織各學(xué)點(diǎn)管理人員統(tǒng)一到縣教師進(jìn)修學(xué)校進(jìn)行培訓(xùn)�����,熟悉系統(tǒng)的使用和維護(hù)����?���! ?)網(wǎng)站的結(jié)構(gòu)化查詢語句所查詢的表中存在名為“IDD”的字段����。 通過上面例子可知����,旁注偵測的基本原理是通過分析客戶端提交的代碼行,然后分析服務(wù)器的反饋信息���,獲取旁注偵測信息及資料��?! 》治鲎⑷肟尚行浴 ∫治鍪欠翊嬖诼┒?���,使用如下測試方法是較為準(zhǔn)確的: 1)http:///?idd=2 2)http:///��?i
7、dd=2and1=1 3)http:///���?idd=2and1=2 此法是常用的?y試法�����。觀察以上的網(wǎng)址返回的結(jié)果����,通?�?梢灾朗欠窨梢宰⑷?。 可注入時(shí)����,反饋內(nèi)容表現(xiàn)如下: 1)網(wǎng)頁能夠正常顯示����; 2)網(wǎng)頁基本能正常顯示,但格式異常���,內(nèi)容與1)大致相同���; 3)出現(xiàn)BOF或EOF提示��、或提示未找到記錄�����、或顯示網(wǎng)頁內(nèi)容為空����?����! ∪羰遣淮嬖谌肭謼l件則通過反饋異常來反映����,觀察網(wǎng)頁程序定義的出錯(cuò)提示類型甚至跳轉(zhuǎn)到的指定頁面信息。為了充分發(fā)揮“教學(xué)點(diǎn)數(shù)字教育資源全覆蓋”項(xiàng)目設(shè)備的作用�,我們不僅把資源運(yùn)用于課堂教學(xué),還利用系統(tǒng)的特色
8����、欄目開展課外活動,對學(xué)生進(jìn)行安全教育�����、健康教育、反邪教教育等豐富學(xué)生的課余文化生活�。為了確保“教學(xué)點(diǎn)數(shù)字教育資源全覆蓋”項(xiàng)目設(shè)備正常使用���,我校做到安裝����、教師培訓(xùn)同步進(jìn)行���。設(shè)備安裝到位后��,中心校組織各學(xué)點(diǎn)管理人員統(tǒng)一到縣教師進(jìn)修學(xué)校進(jìn)行培訓(xùn)�����,熟悉系統(tǒng)
