一:注入类:
access数据库
<1>
首先猜解管理员密码:
手工猜解(当然,如果你有基础,这里就很简单。如果没学过,其实只要记下一些常用的语句就可以了。)
工具猜解。我建议用zwell的穿山甲,也就是pangolin..或者是NBSI。前者猜解速度非常强悍。而猜解的准确率两者都很好。
找出后台:
用明小子,啊D,等工具都可以找的。但有时候会找不到。为什么呢?建议用多线程后台扫描工具。里面的字典你可以从明小子等那些工具里综合起来。还有一点。平时检测网站的时候遇到一些你字典里没有的后台名称。要注意积累下来。
目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换Web网站主页,盗取管理员密码,数据库注入和破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
以下是国家计算机网络应急技术处理协调中心(CNCERT/CC)统计的2008年上半年我国国内网站被黑被篡改的统计图,在1月-7月内仅发现的被篡改的网站就多达41,000多个,平均每天就有近200个网站被篡改,这真是一个惊人的数字。
5月22日凌晨,24岁的免费域名服务商DNSPod站长吴洪声在2天2夜没有合眼后,决定主动约见媒体,就5月19日晚间多省大规模网络故障事件做出说明。在吴洪声看来,这次由DNSPod遭到恶意攻击引起的事故是一场蝴蝶效应:他的DNSPod是蝴蝶扇了下翅膀,暴风影音就成为了太平洋上的风暴。
此前我一直表示,2009年安全大黑马非Web应用防火墙莫数。事实上,进入五月份以来,很多Web应用防火墙厂家的工程师已经处于应接不暇的状态。对此记者专门走访了众多厂商,结果看到的是井喷的订单与密集的出差行程,这无不凸显出眼下Web应用防火墙市场的炙热。
============================================
中国WEB安全市场分析
作者:网路游侠
网站:http://www.youxia.org
更新:2009年05月06日
说明:临时画了个图表,国外产品还没来得及细化,欢迎给我发资料、提出建议!
============================================
English