【摘 要】本文主要根據(jù)對(duì)網(wǎng)站常見的攻擊方式進(jìn)行分析，網(wǎng)站管理者通過了解這攻擊方法，更好的做好網(wǎng)站防護(hù)工作。

【關(guān)鍵詞】網(wǎng)站攻擊

一、引言

隨著信息時(shí)代的來臨，網(wǎng)站建設(shè)技術(shù)的普及，人們通過互聯(lián)網(wǎng)來獲取知識(shí)，娛樂等，對(duì)網(wǎng)站的依賴程度加大。這也對(duì)網(wǎng)站安提出更高的要求，也使得網(wǎng)站安全的地位將越來越重要，網(wǎng)站安全必然會(huì)隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。以下將列出常見的網(wǎng)站攻擊方法，以供大家參考，更好的做好防護(hù)工作。

二、網(wǎng)站入侵的主要方式

（一）萬能密碼

操作方式：在網(wǎng)絡(luò)后臺(tái)管理的登錄界面輸入萬能密碼“’or’=’or’”

該漏洞為一個(gè)相對(duì)較老的漏洞，不過目前很多系統(tǒng)依然存在這樣漏洞。漏洞原理為-邏輯運(yùn)算符AND和OR的運(yùn)算優(yōu)先次序是：先運(yùn)算AND運(yùn)算符再運(yùn)算OR運(yùn)算符。

利用or改變語句的意思，語句本意為 “且”現(xiàn)變成“或者”然后“且。

與此類似的還有

’or’’=’ \" or \"a\"=\"a ’） or （’a’=’a \"） or （\"a\"=\"a

（二）下載數(shù)據(jù)庫俗稱暴庫：

操作方式：把二級(jí)目錄中間的/換成%5c.，下載數(shù)據(jù)庫。然后得到網(wǎng)站的權(quán)限。

如http：//www.xxx.com/xxx/123.asp將第二個(gè)替換后則為http：//www.xxx.com/xxx%5c123.asp，然后一些下載工具把數(shù)據(jù)庫下載下來。此時(shí)，有了數(shù)據(jù)庫既有了管理員的賬號(hào)和密碼，如果密碼經(jīng)過MD5加密，可通過MD5解密網(wǎng)站進(jìn)行解密。

（三）中轉(zhuǎn)注入也稱 COOKIES欺騙

操作方式：利用一些注入工具或者COOKIES欺騙軟件等，將固定代碼復(fù)制進(jìn)入COOKIES修改即可，然后輸入網(wǎng)址即可。

COOKIES是用來存放登陸信息的，利用這個(gè)我們可以修改COOKIES，把我們欺騙成管理員身份登陸。如圖既是利用啊D注入工具進(jìn)行COOKIES欺騙后進(jìn)入網(wǎng)站后臺(tái)的截圖。

（四）上傳漏洞

操作方式：將ASP、PHP等格式的木馬傳至網(wǎng)站中，獲取WEBSHELL權(quán)限。

上傳漏洞就是利用別人已經(jīng)公布出來的漏洞，把ASP、PHP等格式的木馬通過修改文件名的方式，喬裝打扮，傳到網(wǎng)站FTP中。如果傳送成功，則可獲取網(wǎng)站的WEBSHELL權(quán)限，無需用戶名和密碼。如動(dòng)網(wǎng)、喬客等知名網(wǎng)站此前均存在上傳漏洞。效果如下圖。

（五）旁注

操作方式：由于對(duì)該網(wǎng)站攻擊存在一定難度，于是通過攻擊同一服務(wù)器中另外的網(wǎng)站拿到服務(wù)器權(quán)限后，再控制該網(wǎng)站。

先通過whois等工具列出同一服務(wù)器上的網(wǎng)站地址，然后分別打開網(wǎng)站，查看其特征得到該網(wǎng)站的用的什么系統(tǒng)。然后通過上傳漏洞的方法取得WEBSHELL，即可拿到該服務(wù)器權(quán)限。有了整個(gè)服務(wù)器的權(quán)限，自然就可以控制想要攻擊的網(wǎng)站。

三、總結(jié)

網(wǎng)站安全管理是一項(xiàng)復(fù)雜而有系統(tǒng)的工程，沒有一勞永逸的安全措施。要在網(wǎng)站的建設(shè)和管理過程中及時(shí)了解、分析安全問題，并研究方法，制訂措施，確保網(wǎng)絡(luò)正常、高效、安全地運(yùn)行。同時(shí)做好以下兩點(diǎn)：

（一）不用網(wǎng)上免費(fèi)的開源代碼，此類代碼由于公布在網(wǎng)上，不定期會(huì)爆出安全漏洞。

（二）增強(qiáng)安全意識(shí)，定期與不定期的對(duì)網(wǎng)站進(jìn)行掃描，安全檢測，注意目錄中的可疑文件。