网站漏洞检测及解决办法
很多网站可能或多或少存在下面几个漏洞:
- SQL注入漏洞
- 跨站脚本攻击漏洞
- 登陆后台管理页面
- IIS短文件/文件夹漏洞
- 系统敏感信息泄露
下面说下网站漏洞检测的步骤及内容方法:
这些安全性测试,据了解一般是先收集数据,然后进行相关的渗透测试工作,获取到网站或者系统的一些敏感数据,从而可能达到控制或者破坏系统的目的。
第一步是信息收集,收集如IP地址、DNS记录、软件版本信息、IP段等信息。可以采用方法有:
1)基本网络信息获取;
2)Ping目标网络得到IP地址和TTL等信息;
3)Tcptraceroute和Traceroute 的结果;
4)Whois结果;
5)Netcraft获取目标可能存在的域名、Web及服务器信息;
6)Curl获取目标Web基本信息;
7)Nmap对网站进行端口扫描并判断操作系统类型;
8)Google、Yahoo、Baidu等搜索引擎获取目标信息;
9)FWtester 、Hping3 等工具进行防火墙规则探测;
10)其他。
第二步是进行渗透测试,根据前面获取到的数据,进一步获取网站敏感数据。此阶段如果成功的话,可能获得普通权限。采用方法会有有下面几种
1)常规漏洞扫描和采用商用软件进行检查;
2)结合使用ISS与Nessus等商用或免费的扫描工具进行漏洞扫描;
3)采用SolarWinds对网络设备等进行搜索发现;
4)采用Nikto、Webinspect等软件对Web常见漏洞进行扫描;
5)采用如AppDetectiv之类的商用软件对数据库进行扫描分析;
6)对Web和数据库应用进行分析;
7)采用WebProxy、SPIKEProxy、Webscarab、ParosProxy、Absinthe等工具进行分析;
8)用Ethereal抓包协助分析;
9)用Webscan、Fuzzer进行SQL注入和XSS漏洞初步分析;
10)手工检测SQL注入和XSS漏洞;
11)采用类似OScanner的工具对数据库进行分析;
12)基于通用设备、数据库、操作系统和应用的攻击;采用各种公开及私有的缓冲区溢出程序代码,也采用诸如MetasploitFramework 之类的利用程序集合。
13)基于应用的攻击。基于Web、数据库或特定的B/S或C/S结构的网络应用程序存在的弱点进行攻击。
14)口令猜解技术。进行口令猜解可以采用 X-Scan、Brutus、Hydra、溯雪等工具。
第三步就是尝试由普通权限提升为管理员权限,获得对系统的完全控制权。在时间许可的情况下,必要时从第一阶段重新进行。采用方法
1)口令嗅探与键盘记录。嗅探、键盘记录、木马等软件,功能简单,但要求不被防病毒软件发觉,因此通常需要自行开发或修改。
2)口令破解。有许多著名的口令破解软件,如 L0phtCrack、John the Ripper、Cain 等
以上一些是他们测试的步骤,不过我们不一定要关注这些过程性的东西,我们可能对他们反馈的结果更关注,因为可能会爆发很多安全漏洞等着我们去修复的。
其它检测方法:
1、用360网站安全联盟检测网站安全
2、在搜索网站中搜索网站可能出现的错误代码:如检测网站天气预报15天查询网(http://15tianqi.cn),想要检测是否有错误代码,可以在百度中搜索 site:15tianqi.cn error,因为在代码中有个异常处理类,所有错误信息都会有个error这个词输出提示;
这样可以在以后网站运营中很好的解决错误问题!
网站漏洞检测及解决办法相关推荐
- iframe 内嵌第三方网站 cookie 失效,解决办法
iframe 内嵌第三方网站 cookie 失效,解决办法 网站iframe内嵌第三方带登录页的网站时,在ie和火狐和部分谷歌浏览器是可以的,但是在升级版的谷歌浏览器中是无法访问的 问题是谷歌浏览器在 ...
- 苹果maccms网站漏洞进行修复解决方法教程
苹果maccms网站漏洞进行修复解决方法教程 参考文章: (1)苹果maccms网站漏洞进行修复解决方法教程 (2)https://www.cnblogs.com/svip7/p/12168030.h ...
- 对苹果maccms网站漏洞进行修复解决过程
目前苹果CMS官方在不断的升级补丁,官方最新的漏洞补丁对于目前爆发的新漏洞没有任何效果.更新补丁的用户网站还是会遭受到挂马的攻击,很多客户因此找到我们SINE安全寻求网站安全技术上的支持,针对该漏洞我 ...
- struts2 漏洞分析 及解决办法
1.讨论关于struts 安全问题. 2.黑客文化. 3.如何降低安全漏洞的出现. 4.忠告建议. 题记: 这篇文章本来很早应该和大家见面的,中间由于个人原因调整了系列文章发布时间,实属罪过.为了不误 ...
- php网站漏洞检测对sql注入漏洞防护
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...
- php网站漏洞检测对sql注入漏洞防护 1
近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...
- 网站漏洞检测修复 短息轰炸漏洞检测与修补方案
很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网 ...
- VS2010 发布网站时文件丢失解决办法
网站项目中包含了一些Excel模版文件以及XML样式表都是用单独文件夹存的,发布网站选择仅限运行此应用程序所需文件,发布成功后发现这两个文件夹都没发布出来,找了下原因,解决办法是选择文件打开属性窗口找 ...
- 网站漏洞检测针对区块链网站安全分析
2019独角兽企业重金招聘Python工程师标准>>> 目前移动互联网中,区块链的网站越来越多,在区块链安全上,很多都存在着网站漏洞,区块链的充值,会员账号的存储性XSS窃取漏洞,账 ...
最新文章
- 定义系统消息 Specify system messages
- Java 编程的动态性 第1 部分: 类和类装入--转载
- lambda Kappa iota比较
- 糖果传递 (数学题)
- extmail垃圾邮件存放垃圾邮件箱
- ASP.NET MVC中ViewData、ViewBag和TempData
- IDC机房KVM应用案例分析
- dvd vlc 复制_如何使用VLC翻录DVD
- laravel 图片流_Laravel 之添加图片水印
- 你需要的是持续的服务改进 1
- Theano 编程核心
- VBA调用程序时,exe程序一闪而过,解决方法
- 区块链+电子档案解决方案
- 数字图像处理复习总结
- 在github上建立自己的网站
- 瞬变抑制二极管的选型
- 再次盈利的芒果超媒,下一步剑指电商
- qt 进程打开excel_Qt 操作Excel
- Node.js -- JavaScript的运行环境
- EHCache简单使用