第23部分 (第2/4頁)

程序下去,相信很快就可以入侵成功。 杜邵峰早早地就從自己的網路硬碟上把需要用到的幾個軟體下了下來,其中有掃描工具,注入漏洞發現工具,攻擊探測工具等。 使用這些工具,他成功入侵過不少網站論壇,這些工具,都是他從他師傅那裡要來的。 另外,杜邵峰對網站程式設計也有不少經驗,所以他對這次比試,很有自信,因為天時地利人和,他幾乎全佔了。 掃描,是一切入侵的基本功,知己知彼才能百戰不殆,入侵也是一樣,首先得儘可能多的蒐集目標伺服器的所有資訊,包括確定主機是否存活,主機上安裝的作業系統是什麼型別的,Windows還是Linux或者其他,另外,還可以知道,對方主機正在使用哪些埠,對外提供了哪些服務,甚至還有相關服務的軟體版本……等等等等,掌握這些資訊之後,才能對症下藥,進而發現有關漏洞。 開啟掃描器,將南京大學網站的域名輸入到掃描軟體,執行一會兒之後,結果就出來了,其中包括伺服器的IP地址,並沒有發現什麼輕易就可以利用的漏洞。 看來,對方負責網站建設的,其基本的安全意識還算比較可以。 杜邵峰點開南京大學的網站網頁,在上面慢慢地逛了起來。 透過連結的地址,他有些欣喜地發現,南京大學的網站程式,竟然還是用ASP編寫的。 ASP和PHP,JSP一樣,是一種相當古老的網頁程式語言,隨著微軟伺服器產品的升級,同時將ASP全新升級到,後者較之前者,有極大的優勢,所以漸漸的,ASP漸漸被其取代了。 正因為ASP比較古老,這種程式語言被別人發現的漏洞也是相當多的,而杜邵峰恰好又對ASP相當熟悉,所以這個發現才這麼讓他欣喜。 當然,一個程式安全與否,關鍵不在於它用什麼語言編寫,主要還是要看什麼人在編寫,什麼人在用,並不是說語言越古老,漏洞就越多,相反的例子就是組合語言了,這種語言是真正的上古程式語言,但是至今還發揮著重要的作用,並且用這種語言編寫出來的程式,基本上都是非常安全的。 杜邵峰將這個網站的每個網頁都看了一遍,包括從瀏覽器中看到的原始碼,並沒有發現這個網站系統的任何版本資訊,想來應該是自己編寫的一個系統。之所以這麼做,是因為他想找找看,這個網站系統到底是不是網路上在公開了原始碼的,如果是從網路上下載的,那麼很有可能就人發現過一些漏洞,他只要利用搜尋引擎搜尋一下,沒準就能碰巧找到入侵的方法。 這個想法行不通,他只好換一個思路。 這時,他突然看到其中有個頁面,有一個校長信箱留言板的連結。 點進去一看,發現真是個留言板系統,已經有不少學生在上面留言,反饋自己對學校網路中心、食堂等部門不滿意的地方。 留言板有管理員登入入口。 杜邵峰來了點精神,立刻執行自己的注入工具,然後對這個入口進行一系列的注入測試。 SQL隱碼攻擊,是一種非常古老的入侵手段了,當年被公佈出來之後,簡直在全世界範圍內引起了一陣入侵風潮,無數網站或論壇因為程式設計師編寫程式的時候,沒有過濾相關輸入資訊,從而被一些剛剛學會這個入侵方式的菜鳥入侵成功。面對這種攻擊,無論伺服器上安裝了多好多豪華的防火牆,也根本沒有任何作用,因為這是完全合法的SQL訪問,要想防止,只能在提交資料的時候,進行對輸入的內容進行嚴格檢查,過濾那些可能引起安全問題的字元(比較常見的是單雙引號和等於號)。 基本上,如果網站上存在這個漏洞,只要你懂得SQL查詢語言,就能夠很輕易地登入所有人的帳號,因為只要知道使用者名稱就行了,密碼已經被繞過去了。 由於這種漏洞,攻擊的方式基本上就那麼幾種,所以有駭客後來將這些攻擊方式總結了一下,然後寫成了自己的軟體,這樣發現某個網站有這樣的漏洞之後,就不用再手動輸入繁雜的程式碼了,只要使用這

最新小說: 遊戲女尊 一天一模擬,硬控亂世一百年 穿越00後動漫融合的世界 網遊:從被逼女裝到自願女裝 請叫我腐爛 網遊之大陸征服 SAN值歸零後我成了高危BUG 寶可夢真實 畫渣又怎樣?我靠神筆一路躺贏 文明:從不死族到太空死靈 我不是賤聖 我成了二週目BOSS 王者:執掌AG,我是抽卡冠軍! 開局選擇亡靈:我有ss級天賦 虛空拼圖 高達SEED之最後的歸宿 召喚萬界軍團 業餘裡踢出來的國足超級後衛 DNF:求你別搞事,我們真服了 注視深淵