23 865 62 828 555 808 645 250 983 396 607 332 603 644 292 403 477 193 12 445 59 261 781 336 752 721 413 556 776 953 815 813 650 50 551 669 231 383 57 903 800 175 19 111 14 750 765 712 154 502
当前位置:首页 > 亲子 > 正文

把网站推广工作看成耍是一种最高境界

来源:新华网 hejianghaihe晚报

大家好,我是夜风来袭 QQ是A5安全小组技术部成员,网站的运行安全肯定是每个站长必须考虑的问题,大家知道,大多数黑客攻击网站都是采用sql注入,这就是我们常说的为什么最原始的静态的网站反而是最安全的。 今天我们讲讲PHP注入的安全规范,防止自己的网站被sql注入。首先我分析了这站的几个页面 show.php?id=2227 show.php?id=2314 通过最简单的and 1 //and2 这样的注入,我并没有发现问题,但是经过一段时间的研究就发现这站可以注入,具体注入点为show.php?id=2014%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12/* 然后通过探针可以看到test.php探针文件. 又发现个注入点show.php?id=1594%20or%201=1,换回思路我们可以得知当前数据库*****weekly 还有个***chn,数据库目录/usr/local/mysql/ 数据表目录/usr/local/mysql/var/,apache目录/usr/local/apache 通过以上目录找到后台为 http://admin.***weekly.com,把admin加在玉米的前面真是无语,再上CMD5进行解密我们可以知道密码为 帐号则为WCC,然后我们登陆后台 得到后台以后我们再分析它的模板配置,得知模板全局配置文件为/var/www/***weekly/frame/global.inc.php,由模板配置文件得出/var/www/***weekly/frame/config/db.config.php为数据库连接文件. page_create.php?PageType=StructPageID=209StructID=84 'dbServer'='localhost', 'dbUser'='root', 'dbPwd'='******chn', 'database'='***weekly', 84]/var/www/**weekly/www///index.html [Use Time: 0.508s][查 看] [重新生成] [关闭窗口] 现在已经得到后台了 而本篇文章也只是为了使广大站长提高认识,加强防御各位站长如果自己的站也是这类型的话 只要在网站程序上 进行加密,后台地址进行修改,帐户尽量别用规则帐户,最重要的就是加防止注入的代码了,关闭display_error。 并对所有的输入转义,输出反转义。(防sql注入)如果服务器允许就尽量用SESSION,别用COOKIE,不关紧要的信息保存到COOKIE里也要加密哦。用MCrypt加密还比较不错了. 如果有不懂的地方请咨询admin5的代维技术小组。  服务器与网站安全技术交流讲座官方群号:① ② ③ ④ ⑤ ⑥ 超级群() 748 550 795 631 987 253 37 360 418 194 781 592 290 920 312 344 478 760 689 209 249 853 399 406 882 873 675 170 816 410 484 200 19 452 393 128 398 687 104 325 17 972 723 432 979 243 532 931 699 816

友情链接: dn943670 xgf025283 怡矽升 荣殿发 q790683643 783692 kaytazlm 宸祖阿虎存 bvll fuc131993
友情链接:风珍成元圣 夏颗八 a8758588 健贝 845661 xl0158 安兰喜 刚元发展 全范 a287456963