攻站日记
来源:互联网 发布:淘宝客qq群操作步骤 编辑:程序博客网 时间:2024/04/27 14:59
站点:http://www.xxxxx.com.cn/
攻入时间:2008年4月1日 15:31
站点服务器:IIS 6.0
站点漏洞:后台登陆弱口令;文件上传漏洞;SQL注入漏洞
攻击过程:该站是一家医院网站,主要用作信息发布,仅有的可交互页面供医患交流用。先做最简单的SQL测试,信息显示页news_show.asp防SQL,搜索页面sousuo.asp存在SQL注入点,注入点不太好用,继续尝试其它页面。交互页面采用集成的留言本程序,在留言本的“版主管理”入口,用admin-admin登录成功,由此怀疑站点后台弱口令。恰好首页集成后台登陆,以admin-admin身份成功登陆。进入后台,发现有个批量上传文件功能,上传shell.asp成功。利用shell.asp可以浏览你整个网站。
总结:后台弱口令是致命的漏洞,同时后台程序做的不够安全。
建议:更改后台口令;后台程序更新,对上传文件做检查;限制IIS访问权限;禁止DSO。
攻入时间:2008年4月1日 15:31
站点服务器:IIS 6.0
站点漏洞:后台登陆弱口令;文件上传漏洞;SQL注入漏洞
攻击过程:该站是一家医院网站,主要用作信息发布,仅有的可交互页面供医患交流用。先做最简单的SQL测试,信息显示页news_show.asp防SQL,搜索页面sousuo.asp存在SQL注入点,注入点不太好用,继续尝试其它页面。交互页面采用集成的留言本程序,在留言本的“版主管理”入口,用admin-admin登录成功,由此怀疑站点后台弱口令。恰好首页集成后台登陆,以admin-admin身份成功登陆。进入后台,发现有个批量上传文件功能,上传shell.asp成功。利用shell.asp可以浏览你整个网站。
总结:后台弱口令是致命的漏洞,同时后台程序做的不够安全。
建议:更改后台口令;后台程序更新,对上传文件做检查;限制IIS访问权限;禁止DSO。
- 攻站日记
- 墨攻
- Tomcat4.01全攻
- Tomcat4.01全攻
- SQL注入攻擊
- 攻壳的真相
- 《墨攻》及其他
- 感受墨攻
- 墨攻及其他
- 【谋攻第三】
- 《孙子·谋攻》
- C#墨攻IOC
- PspCidTable攻与防
- 07-闷攻
- 网络攻与防
- 职场“攻心术”
- BIOS特攻
- two sum 攻
- Excel获得文件
- linux下,我把运行jfreechart
- Jersey : Java规范下REST风格Web Service开发框架
- 不死传奇——纪念传奇巨星张国荣特刊
- 在VMWare WorkStation 5.5中安装Red hat linux 9后网卡无法激活的问题解决
- 攻站日记
- swap实现(优化空间和时间),及其带来的问题
- Sendmail配置终极指南
- asp连access的解决办法
- 每个初学者都应该搞懂的问题!
- 中国新型轰炸机已非吴下阿蒙 士别三日当刮目相看
- 评--- >精通语言不等于是一个好的软件开发人员(2008-04-02 来自:villa123 )
- 揭秘红旗军演:真正现实环境下的模拟作战[组图
- 我用c++ builder做的闹钟