高校网站安全现状分析与对策探究
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
过 程 . 面就列 举 几种 常见 的攻 击方 法 . 下 1 1 利 用 S L注 入漏 洞 . Q
会 存在 上传 、 加 、 除 和 修 改 程 序 , 如 上 传 程 添 删 比 序 文件 的路 径 以 A P程 序为例 一 般是 在 站 点 目录 S
后 台管 理 程 序 A mi 件 夹 下 , U l d ap d n文 以 po . s 、 a
第3 2卷第 3期
2 1 年 6月 01
宁夏师范学 院学报 ( 自然科学 ) Junl f igi T ahr U i ri N tr c ne ora o nx eces nv s y( a a Si c ) N a e t ul e
V0132 . No. 3
J n 01 u .2 1
近几 年来 网站 安 全 问题 越 来 越 受 到人 们 的关
令.Q S L注 入 漏 洞 甄 别 最 简 单 的 方 法 是 在 一 篇 网 站 文章 链 接 末 尾输 入 空 格 ad1=1和 ad1=2 n n 测 试显 示 的返 回错 误 , 体 原 理 是 在 S L判 断 语 具 Q 句语 法 输入 正确 的情 况下 ,I I S会配 合 数 据 库 返 回
高 校 网 站 安 全 现 状 分 析 与 对 策 探 究
张 宏 武
( 宁夏师范学 院 计算机 中心 ,宁夏 固原 7 6 0 ) 50 0
摘
要: 调查和分析 了近 几年来我国 高校 网站被入侵频 率上 升的原因 , 归纳和 总结了 目前常见 的网站入侵
方 法 、 理 和 补 救 措 施 . 管 理 弊 端 和 We 术 两方 面提 出 了较 为 科 学 的 管理 方 法 与 增 强安 全 性 的 方 案 . 原 从 b技 关键词 : 高校 网站 ; 全 现 状 ; 侵 ; 策 安 入 对
什 么高校 网站 越 来 越 受 到 黑 客 们 的关 注 , 于 多 基 种原 因 , 高校 作 为 信 息 化 建设 的领 先 军 也 成 了 黑 客 攻 击 的 重 灾 区 .文 献 [1]提 到 :由 微 软
“ P G一2 ME 视频 0 a 漏 洞 ” Dy 引发 的木 马疫 情 中 , 在 前 2 0位相 继遭 “ 马 ” 0 挂 的正 规 网站 中 , 别 有 3 分 6 家政府 、 1 教 育 网站 … , 4个 很多 关 于高校 网站 受 到 攻击 的信 息不 再赘 述 .
网站管 理员 不 想 暴 露 的 站 点 详 情 . 者 还 有 一 部 再
注, 门户 网站 缕 缕 被 黑 、 网站 被 上传 木 马 、 件 被 文 篡改 等. 网站 是体 现互 联 网信 息 的窗 口 , 人 们 相 是
互交流、 布信息 、 发 获得 共享 资源 的一种 重要平
台, 同样 它也 是 “ 客 ” 黑 们施 展本 领 的场 所 . 而 为 然
后 门入 口.
所 谓 S L注 入 , 是 通过 把 S L命 令 插 入 到 Q 就 Q 动态 We b表单 递 交或输 入 域名 或 页面请 求 的查 询 字符串 , 最终 达 到欺 骗 服 务 器 执行 恶 意 的 S L命 Q
第3 期
张宏武 : 高校网站安全现状分析与对策探究
分 人使 用 注入 工 具 侵 入 别 人 的 站 点 , 入 工 具 是 注
计算机编程人员编写的一个融合多个 S L猜测语 Q
句 的软 件 , 对于 S L原理 和命 令熟 悉 的人 来 说 , Q 只
要网站存在明显漏洞 , 人工猜测也能完成 , :n 如 ad 用 来 sl ut cc r d n o
・ 3・ 5
1 3 数据 库暴 库 与下载 .
16 操作 系统 漏洞和 应 用软件 漏 洞 .
我们要 说 的 “ 库 ” 的是 利用 微 软 Mioot 暴 指 c sf r
I G _ 文件名 错误 解码 漏 洞 ( 0 —0 6 而 I C I S 2 MS 1 2 ) 诱使 I I 露 出 数 据 库 的地 址 . S O U S暴 N F C S安 全 小
U feap等 的命 名 方式 存 在 . 果 这些 程序 文 件 p l.s i 如 编码头 没 有 加 管 理 员 账 号 登 陆 信 息 确 认 代 码 的 话, 应该 很 容易 以 匿名 身份 使 用 该 文件 , 如果 该 文 件 还对 上传 类 别 没 有 加 以细 致 的筛 选 , 就 成 了 那
中图分 类号 :P 9 T33
收 稿 日期 :00— 3— 9 2 1 0 2
文献标 识码 : A
文章编号 :6 4—13 ( 0 1 0 0 5 0 17 3 1 2 1 ) 3— 0 2— 4
基金项 目: 宁夏师 范学院科 学研 究项 目( N 00 0 ) Q 2 10 1 . 作者简 介 : 张宏武 (9 2一) 男, 18 , 宁夏西吉人 , 助教 , 究方 向: 研 计算机 网络及计算机应 用.
由 于 这 方 面 属 于 服 务 器 攻 击 和 F P软 件 或 T I T I F P漏洞 攻 击 , 着 时代 不 断 的进 步 , 些 漏 S 随 这
洞也 在 发生 着 不 断 的变 化 或 得 到 弥补 , 因此 在 这
判 断在 数 据 库 表 中 是 否 存 在 一 张 以 a m n命 名 di
的表 。
1 网站 入 侵 的 类 型
简单 来说 “ 网站入 侵 ” 的是利 用操 作 系统漏 指
12 后 台文件可 匿名访 问 . 对 于绝 大 多数 网站 来说 后 台管 理 系统 中必 然
洞 、 作 系统 弱 口令 、 Y 操 F P软 件 缺 陷 、 站 编 码 缺 网 陷 、 据 库设计 缺 陷 、 数 网站 后 台 缺 陷等 达 到 控 制 网 站后 台 、 上传 木 马 文 件 对 网 站 空 间 有 可 操 作 性 的
会 存在 上传 、 加 、 除 和 修 改 程 序 , 如 上 传 程 添 删 比 序 文件 的路 径 以 A P程 序为例 一 般是 在 站 点 目录 S
后 台管 理 程 序 A mi 件 夹 下 , U l d ap d n文 以 po . s 、 a
第3 2卷第 3期
2 1 年 6月 01
宁夏师范学 院学报 ( 自然科学 ) Junl f igi T ahr U i ri N tr c ne ora o nx eces nv s y( a a Si c ) N a e t ul e
V0132 . No. 3
J n 01 u .2 1
近几 年来 网站 安 全 问题 越 来 越 受 到人 们 的关
令.Q S L注 入 漏 洞 甄 别 最 简 单 的 方 法 是 在 一 篇 网 站 文章 链 接 末 尾输 入 空 格 ad1=1和 ad1=2 n n 测 试显 示 的返 回错 误 , 体 原 理 是 在 S L判 断 语 具 Q 句语 法 输入 正确 的情 况下 ,I I S会配 合 数 据 库 返 回
高 校 网 站 安 全 现 状 分 析 与 对 策 探 究
张 宏 武
( 宁夏师范学 院 计算机 中心 ,宁夏 固原 7 6 0 ) 50 0
摘
要: 调查和分析 了近 几年来我国 高校 网站被入侵频 率上 升的原因 , 归纳和 总结了 目前常见 的网站入侵
方 法 、 理 和 补 救 措 施 . 管 理 弊 端 和 We 术 两方 面提 出 了较 为 科 学 的 管理 方 法 与 增 强安 全 性 的 方 案 . 原 从 b技 关键词 : 高校 网站 ; 全 现 状 ; 侵 ; 策 安 入 对
什 么高校 网站 越 来 越 受 到 黑 客 们 的关 注 , 于 多 基 种原 因 , 高校 作 为 信 息 化 建设 的领 先 军 也 成 了 黑 客 攻 击 的 重 灾 区 .文 献 [1]提 到 :由 微 软
“ P G一2 ME 视频 0 a 漏 洞 ” Dy 引发 的木 马疫 情 中 , 在 前 2 0位相 继遭 “ 马 ” 0 挂 的正 规 网站 中 , 别 有 3 分 6 家政府 、 1 教 育 网站 … , 4个 很多 关 于高校 网站 受 到 攻击 的信 息不 再赘 述 .
网站管 理员 不 想 暴 露 的 站 点 详 情 . 者 还 有 一 部 再
注, 门户 网站 缕 缕 被 黑 、 网站 被 上传 木 马 、 件 被 文 篡改 等. 网站 是体 现互 联 网信 息 的窗 口 , 人 们 相 是
互交流、 布信息 、 发 获得 共享 资源 的一种 重要平
台, 同样 它也 是 “ 客 ” 黑 们施 展本 领 的场 所 . 而 为 然
后 门入 口.
所 谓 S L注 入 , 是 通过 把 S L命 令 插 入 到 Q 就 Q 动态 We b表单 递 交或输 入 域名 或 页面请 求 的查 询 字符串 , 最终 达 到欺 骗 服 务 器 执行 恶 意 的 S L命 Q
第3 期
张宏武 : 高校网站安全现状分析与对策探究
分 人使 用 注入 工 具 侵 入 别 人 的 站 点 , 入 工 具 是 注
计算机编程人员编写的一个融合多个 S L猜测语 Q
句 的软 件 , 对于 S L原理 和命 令熟 悉 的人 来 说 , Q 只
要网站存在明显漏洞 , 人工猜测也能完成 , :n 如 ad 用 来 sl ut cc r d n o
・ 3・ 5
1 3 数据 库暴 库 与下载 .
16 操作 系统 漏洞和 应 用软件 漏 洞 .
我们要 说 的 “ 库 ” 的是 利用 微 软 Mioot 暴 指 c sf r
I G _ 文件名 错误 解码 漏 洞 ( 0 —0 6 而 I C I S 2 MS 1 2 ) 诱使 I I 露 出 数 据 库 的地 址 . S O U S暴 N F C S安 全 小
U feap等 的命 名 方式 存 在 . 果 这些 程序 文 件 p l.s i 如 编码头 没 有 加 管 理 员 账 号 登 陆 信 息 确 认 代 码 的 话, 应该 很 容易 以 匿名 身份 使 用 该 文件 , 如果 该 文 件 还对 上传 类 别 没 有 加 以细 致 的筛 选 , 就 成 了 那
中图分 类号 :P 9 T33
收 稿 日期 :00— 3— 9 2 1 0 2
文献标 识码 : A
文章编号 :6 4—13 ( 0 1 0 0 5 0 17 3 1 2 1 ) 3— 0 2— 4
基金项 目: 宁夏师 范学院科 学研 究项 目( N 00 0 ) Q 2 10 1 . 作者简 介 : 张宏武 (9 2一) 男, 18 , 宁夏西吉人 , 助教 , 究方 向: 研 计算机 网络及计算机应 用.
由 于 这 方 面 属 于 服 务 器 攻 击 和 F P软 件 或 T I T I F P漏洞 攻 击 , 着 时代 不 断 的进 步 , 些 漏 S 随 这
洞也 在 发生 着 不 断 的变 化 或 得 到 弥补 , 因此 在 这
判 断在 数 据 库 表 中 是 否 存 在 一 张 以 a m n命 名 di
的表 。
1 网站 入 侵 的 类 型
简单 来说 “ 网站入 侵 ” 的是利 用操 作 系统漏 指
12 后 台文件可 匿名访 问 . 对 于绝 大 多数 网站 来说 后 台管 理 系统 中必 然
洞 、 作 系统 弱 口令 、 Y 操 F P软 件 缺 陷 、 站 编 码 缺 网 陷 、 据 库设计 缺 陷 、 数 网站 后 台 缺 陷等 达 到 控 制 网 站后 台 、 上传 木 马 文 件 对 网 站 空 间 有 可 操 作 性 的