防范网站漏洞
发布:zhubinbin | 发布时间: 2013年4月3日有些朋友提到了漏洞的危害,想了解关于漏洞可以导致的威胁。
对于开源产品甚至加密的公开发布的产品来说,由于这些产品的定位是尽量满足用户全部需求的产品,所以这类产品一般存在两个问题。
1,功能设定的比较强大
2,产品结构相对透明
而网站的漏洞一般为:
1,代码执行漏洞
这方面的漏洞可以参照以下:
1) http://www.wooyun.org/bugs/wooyun-2010-013937 Phpcms代码执行漏洞
2) http://www.thinkphp.cn/down/116.html Thinkphp任意代码执行漏洞
等
当出现这些漏洞的时候,攻击者可以在您的站点执行任意代码,意思是,攻击者可以在你网站做你网站权限上能做的任何事情。
2,SQL注射漏洞。
这方面的漏洞可以参照以下:
1)http://www.wooyun.org/bugs/wooyun-2010-017032 PHPCMS SQL注射漏洞
2)http://www.wooyun.org/bugs/wooyun-2010-0248 Ecshop SQL注射漏洞
当出现这些漏洞的时候,攻击者可以在您的站点阅读您数据库里的任何数据,如果您的网站数据库内存放了密码,或者可以导致攻击者获得密码的内容,配合开源产品的强大功能(例如文件编辑,模板编辑等后台功能),攻击者最终可能在您的网站做任何事情。
3,跨站漏洞。
这方面的漏洞可以参照以下:
1)http://www.wooyun.org/bugs/wooyun-2010-020641
2 ) http://www.wooyun.org/bugs/wooyun-2010-018732
当出现这类漏洞的时候,攻击者可以发布内容,引诱其他用户阅读,从而获取阅读者在网站功能上的权限,从而有可能依赖这些权限,最终获得更大的权限直至获得服务器权限。
4,逻辑漏洞。
1 ) http://www.wooyun.org/bugs/wooyun-2010-019700 前程无忧的一个密码找回漏洞
2 ) http://www.wooyun.org/bugs/wooyun-2010-020588 皮皮网任意用户密码修改,可能导致用户金钱损失
3 ) http://www.wooyun.org/bugs/wooyun-2010-018331 嘀咕团支付漏洞及验证码绕过
出现这些漏洞的时候,往往是因为代码编写者考虑不全,将重要的数据放在表单的hidden属性字段里导致可以被用户修改,或者是某个重要的凭证可以被简单的获取,可能导致损失或者权限的丢失。
- 相关文章:
如何搞定DEDECMS文字水印颜色 (2013-4-1 17:43:27)
织梦系统图片水印和文字水印的设置方法 (2013-3-30 16:48:52)
SEO优化推广方案该如何写 (2013-3-27 22:32:41)
柳焕斌:SEO实战案例 广场舞教学网(转载) (2013-3-21 22:35:39)
不怕神一样的敌人,就怕猪一样的队友 (2013-3-16 9:36:9)
网站降权原因分析 (2013-3-14 16:17:58)
最近感想总结 (2013-3-12 22:27:53)
长尾关键词至关重要 (2013-3-9 22:20:0)
如何做好目标关键词 (2013-3-5 22:0:55)
多域名网站如何设置301 (2013-3-1 22:38:10)
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。