- 相關推薦
網站出問題,如何查找網站漏洞
網頁的漏洞主要有注入漏洞、跨站漏洞、旁注漏洞、上傳漏洞、暴庫漏洞和程序漏洞等等,
網站出問題,如何查找網站漏洞
。針對這么多的漏洞威脅,網站管理員要對自己的網站進行安全 檢測,然后進行安全設置或者代碼改寫。那如何來檢測網站存在的漏洞呢?其實,很多攻擊者都是通過一些 工具來檢測網站的漏洞然后實施攻擊的。那么網站的 管理員就可以利用這些工具對網站進行安全檢測,看有沒有上述漏洞,筆者就不一一演示了。下面就列舉一個當前比較流行的eWEBEditor在線HTML編 輯器上傳漏洞做個演示和分析。1、網站入侵分析
eWEBEditor是一個在線的HTML編輯器,很多網站都集成這個編輯器,以方便發布信息。低版本的eWEBEditor在線HTML編輯器,存在者上傳漏洞, 利用這點得到WEBSHELL(網頁管理權限)后,修改了網站,進行了掛馬操作。
其原理是:eWEBEditor的默認管理員登錄頁面沒有更改,而且默認的用戶名和密碼都沒有更改。攻擊者登陸eWEBEditor后,添加一種新的樣式類型,然后設置上傳文件的類型,比如加入asp文件類型,就可以上傳一個網頁木馬了,
資料共享平臺
《網站出問題,如何查找網站漏洞》(http://www.solarmaxlimited.com)。2、判斷分析網頁漏洞
(1)攻擊者判斷網站是否采用了eWEBEditor的方法一般都是通過瀏覽網站相關的頁面或者通過搜索引擎搜索類似”ewebeditor.asp?id=”語句,只要類似的語句存在,就能判斷網站確實使用了WEB編輯器。
(2)eWEBEditor編輯器可能被 利用的安全漏洞:
a.管理員未對數據庫的路徑和名稱進行修改,導致 可以利用編輯器默認路徑直接對網站數據庫進行下載。
b.管理員未對編輯器的后臺管理路徑進行修改導致 可以通過數據庫獲得的用戶名和密碼進行登陸或者直接輸入默認的用戶名和密碼,直接進入編輯器的后臺。
c.該WEB編輯器上傳程序存在安全漏洞。
四、網頁木馬的防御和清除
1、防御網頁木馬,服務器設置非常重要,反注冊、卸載危險組件:(網頁后門木馬調用的組件)
(1)卸載wscript.shell對象,在cmd先或者直接運行:
regsvr32 /u %windir%system32WSHom.Ocx
(2)卸載FSO對象,在cmd下或者直接運行:
regsvr32.exe /u %windir%system32scrrun.dll
【網站出問題,如何查找網站漏洞】相關文章:
理想信念查找突出問題07-10
六個方面查找突出問題07-10
網站編輯的工作總結10-24
網站工作計劃范文10-28
網站編輯實習周記05-21
網站編輯工作總結10-11
網站運營專員的崗位職責07-30
網站編輯社會實踐報告06-15
網站運營主管工作內容07-28
爭創“文明網站”倡議書08-17