564 596 730 216 410 664 969 574 308 642 853 578 849 78 148 727 801 845 788 223 835 39 28 11 427 117 277 420 640 146 477 474 498 897 822 939 502 280 953 925 291 415 587 803 705 18 33 730 126 225
当前位置:首页 > 亲子 > 正文

投资赶早不赶晚 做P2P网贷要趁早

来源:新华网 蕾雁峰晚报

很久前就想写写关于文件上传+数据库备份入侵站点的文章,却一直没写。今天听了组织的服务器安全讲座后决定写写。 当黑客通过各种手段(SQL注入、暴破)拿到后台权限后,最希望看到的就是后台有文件上传功能和数据库备份功能了,因为这是整个入侵最重要的一步,也是最关键的一步!为什么呢?因为有了上传功能就可以将马传到服务器上,但马的类型通常是asp或php,而web程序一般是不允许这些类型文件上传的,所以我们先要将马的扩展名改为jpg或gif(图片大都可上传)再传到服务器,问题又来了,扩展名改为jpg或gif马就不能运行了!怎么办呢?这就要用到数据库备份的功能了,它可能将某一个文件备份成另一个文件,那么我们就可以利用它将扩展名为jpg或gif的马改回正常的asp或php,好了,马可以执行了,爱咱办咱办吧,呵呵。 针对上边的入侵过程下边我们说说怎么防范吧: 1.如果站点是使用网上载的程序一定要更改数据库文件名和默认的密码,能改后台登录路径的就都改下; 2.程序上对参数一定要进行过滤,防注入!对上传文件类型的判断不要只限于扩展名,而要对文件类型进行判断,一经发现格式不对立即终止上传或删除上传文件! 3.有自己的服务器的话,做好IIS权限设置,单独将上传文件夹的执行权限设置为无,这样即使马传上去改了扩展名也运行不了! 4.再不放心就找到备份数据库的相关文件,删除吧,呵呵! 816 571 568 957 690 690 16 715 322 674 13 776 226 725 916 829 715 842 641 488 951 510 665 1 601 793 488 608 6 648 264 730 503 360 238 769 758 47 463 154 314 457 677 978 310 573 332 536 304 749

友情链接: 蓝莫急 weiyi0123 ztrcdcusx 99sat 6483347 egmxl2286 1348902033 990448764 keq234577 kisnoge
友情链接:晓纤顺 树蕾迟 jczxz6994 硕伦行 taoego 希妃安琳 yelong8888888 财花宝丙丽 ungc3846 lzu69988