欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

網(wǎng)站后臺腳本漏洞挖掘技巧,基于工具快速挖掘

  發(fā)布時間:2011-05-15 02:09:09   作者:佚名   我要評論
現(xiàn)在很多搞web開發(fā)的人,腳本安全做得真爛,簡單而又“復(fù)雜”過濾兩下,事實上根本沒理解到真正的方法,也怪90%的腳本書上只講語法,順便鄙視下國內(nèi)那些XX磚家寫的書,不講安全,導(dǎo)致很多web開發(fā)人員完全沒那意識

以前寫的文章,今天整理到的,這是以前搞腳本安全的一些經(jīng)驗,扔出來,當(dāng)時靠 DW的確檢測了很多腳本安全問題。
BY:亂雪

來源:0xx.org.cn

挖掘腳本漏洞和軟件漏洞相比來說更容易一些,門檻也很低,不需要掌握匯編、系統(tǒng)原理等等高深知識,只需要掌握腳本,甚至沒有編寫過WEB程序,只要能看得懂代碼,也就能挖得到洞。如果一個文件一個文件地去看代碼,那太煩瑣了,而且工程相當(dāng)大,這里總結(jié)了幾個以工具來挖掘的方法:

一、Dreamweaver

Dreamweave做網(wǎng)頁是個好東西,挖漏洞更是個好東西,和其他程序比起,我更愛Dreamweaver,靈活運用它,可以更快地挖出腳本中的漏洞。

挖掘之前,先總結(jié)一下一般會出現(xiàn)漏洞的幾個接受參數(shù)的函數(shù):

ASP中的就找找Request....

PHP:$_POST、$_GET、$_REQUEST....

啟動Dreamweaver,選擇菜單欄上的“編輯”,選“查找和替換”,如圖:

隨便去下了個ASP程序,以它為例,挖個漏洞出來。

在“查找和替換”對話框中,把“查找范圍”選成“文件夾…”,路徑就是web程序的路徑,然后在“查找”內(nèi)容里填個request,點擊“查找全部”,看結(jié)果如圖:

接受來的參數(shù)都只過濾了空格,雙擊打開查看他們的源碼,代碼如下,很明顯出現(xiàn)問題了:

復(fù)制代碼
代碼如下:

Dim adminname,password,pass
adminname = Trim(Request("adminname")) '//這里沒有過濾
password = Trim(Request("password")) '//這里也沒過濾
pass = Trim(Request("pass"))
if password <> pass then
ReturnError("超作錯誤,兩次密碼輸入不相同!")
end if
Sql="Select * From [admin] " '//數(shù)據(jù)庫操作
Set Rs = Server.CreateObject("Adodb.Recordset")
Rs.Open Sql,Conn,1,3,1
If adminname <> "" Then Rs("adminname") = adminname
If password <> "" Then Rs("password") = md5(password)
Rs.Update
Rs.Close:Set Rs=Nothing
ReturnOK("修改管理帳號密碼成功,下次登陸請用新帳號/密碼進行登陸。")

PHP的方法也一樣,只是查找的內(nèi)容不一樣而已。

二、PHP Bugscan

這個用起感覺一般吧:)

見此文:http://luanx.blogbus.com/logs/30882418.html

下載地址:http://rapidshare.com/files/131400238/PHP_Bug_Scanner.rar.html

三、Mscasi

這個是微軟出的,針對ASP的,不過覺得此軟件不怎么樣,我掃了好幾個有漏洞的都沒掃出來,而且還是基于.NET的。

見此文:http://luanx.blogbus.com/logs/30925417.html

下載地址:

http://www.microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA&displaylang=en

四、Php Vulnerability Analyzer

07年在雜志上看到介紹的,專門用于挖PHP程序中的漏洞的,好象挺不錯的,但我沒有用過,也是基于.NET環(huán)境的。

下載地址:http://www.3800hk.com/Soft/zhly/22407.html

五、PHP X-CODE BUG SCAN

這個程序也不錯,用來挖PHP中的漏洞的,推薦大家使用使用。

這里只詳細介紹了Dreamweaver,其他程序都差不多的,就不一一介紹了。感覺還是Dreamweaver好用一些。希望能幫助大家:)

相關(guān)文章

最新評論