第一步:掃描
網站建設掃描是入侵的第一步,它可以讓你針對的是一個全面的了解即將到來的入侵。在掃描掃描的對像也可能會發現的漏洞,為入侵提供一個指導方向。不考慮那麼多,找一個掃描軟件來看看主機的安全狀況。我打電話的X -掃描,一個在外部端口掃描這些主機進行了數生成一個端口上的報告,並發現了一個Tomcat服務器,JSP是自然的解釋的文件。專家支招:對於掃描,很容易暴露我們網站的脆弱地區。應對掃描,我們可以設置蜜罐來誤導掃描者,蜜罐可以偽裝成系統是漏洞百出,從而掩蓋了真正的漏洞,你可以裝作沒有任何漏洞, 讓入侵者不知道從哪裡開始(在去年第47期,《電腦報》在我們的生產蜜罐介紹。)
第二步:漏洞嘗試
嘗試了各種各樣的JSP已知的漏洞,這是不具備的可以在任何有效的信息指導入侵的情況下,被迫使用方法的結果。雖然這種方法的效果也不一定好,但往往能起到意想不到的效果,讓入侵繼續下去。本人沒有的JSP的測試用例,因為JSP是大小寫敏感的,Tomcat將小寫的JSP文件後綴,因為這是正常的,執行的JSP文件,如果資本將導致Tomcat以index.jsp的時候作為一個文件,以便客戶可以下載下載一些測試,我發現這種方法不起作用,管理員可能對網站服務器上下載最新的補丁軟件。用於class文件下載的JAD反編譯,原始的Java文件變量名是都不會改變,即使是網頁設計變量,如果頁面開始使數據庫的用戶名和密碼是在Java代碼編寫,反向編譯,數據庫也可能會看到的重要信息。因此,如何獲得這些文件?
很多網站都是這樣做的不到位,以防止網站建設注入攻擊可以在數據庫表中暴露您的Web站點數據庫的信息,接觸到管理員帳號和密碼。
登錄Tomcat的管理界面,在“語境(管理)”,點擊鏈接WEB目錄列出了若干文件和目錄名,網頁設計現在可以在Tomcat管理的背景下,如查看,添加,刪除背景。通過這些方法,我得到了一些論壇的用戶信息,當然,這些都是為JSP做一些測試,以驗證Web應用程序,所有輸入字段。隨著用戶信息,但沒有密碼,怎麼辦?當您登錄後,我發現了一個8888端口,這是什麼樣的服務?
留言列表
