网络安全维护网站安全与维护课件.ppt

资源ID：47506309 资源大小：495.50KB 全文页数：21页
资源格式： PPT 下载积分：18金币

快捷下载

会员登录下载

微信登录下载

三方登录下载：

微信扫一扫登录

下载资源需要18金币

邮箱/手机：
温馨提示：	快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
支付方式：
验证码：	换一换

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

友情提示

1、下载资料失败解决办法

2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。

3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。

4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

5、试题试卷类文档，如果标题没有明确说明有答案则都视为没有答案，请知晓。

网站客服

侵权投诉

网络安全维护网站安全与维护课件.ppt

关于网络安全维护网站安全与维护现在学习的是第1页，共21页（1）常见网站漏洞常见漏洞如下nXSS脚本跨站漏洞nSQL注入漏洞nSQL or=or 万能密码漏洞这些常见的网站漏洞，几乎很多网站都存在，也许存在的位置不同没有发现，通常都是程序上的疏忽导致的。现在学习的是第2页，共21页（1-1）XSS漏洞-介绍n跨站脚本攻击 n恶意攻击者往存在XSS 网站页面里插入恶意html代码，当用户浏览该页之时，嵌入其中的html代码会被执行，从而达到恶意攻击用户特殊目的。n危害程度，可以跨站获取用户信息或者嵌入恶意代码可能导致植入木马注意注意:此类此类程序程序BUG漏洞也同样漏洞也同样也存在也存在其他其他程序语言与数据库程序语言与数据库如如PHP JSP.ASPX 原理大同小异原理大同小异区别很小区别很小现在学习的是第3页，共21页（1-2）XSS漏洞-分析1，此类网站漏洞，属于程序上的过滤信息与数据不严谨,网站程序编写者对于提交的表单信息与请求没有做相对应的过滤与替换处理，就会存在XSS安全问题，XSS包含类型2,提交数据类型XSS 例如留言本论坛提交信息时候产生的，3,地址参数型XSS 例如动态GET请求所附带参数产生现在学习的是第4页，共21页（1-3）XSS漏洞-实测系统需求：windows2003环境:IIS6.0 ASP 基本环境工具:【存在XSS问题的网站程序】，消息框提示XSS 代码 alert(我是黑客)alert(我是黑客)alert(document.cookie)document.write();现在学习的是第6页，共21页n演示 XSS漏洞方法与流程现在学习的是第7页，共21页（1-4）XSS漏洞-解决办法需要网站程序设计者检查修改涉及提交与信息发布的程序页面，并且做出过滤与替换处理例如（单引号）js 脚本等特殊字符串进行过滤现在学习的是第8页，共21页现在学习的是第9页，共21页（2-1）SQL注入漏洞-介绍SQL注入，就是通过把注入，就是通过把SQL命令命令伪造成伪造成 Web表单提交表单提交或或输入域名或页面请求的查询字输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的符串，最终达到欺骗服务器执行恶意的SQL命令。命令。具体来说，它是利用现有应用程序，将（恶意）的具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行命令注入到后台数据库引擎执行的的，它可以通过在，它可以通过在Web表单中输入（恶意）表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数语句得到一个存在安全漏洞的网站上的数据库，而不是按照据库，而不是按照程序设计者意图去执行程序设计者意图去执行SQL语句。语句。这类这类SQL注入安全问题，通常是程序员，对提交的信息与数据没有做过滤处理与替换，注入安全问题，通常是程序员，对提交的信息与数据没有做过滤处理与替换，导致供给可以提交有害的导致供给可以提交有害的SQL语句并执行语句并执行注意注意:此类此类程序程序BUG漏洞也同样漏洞也同样也存在也存在其他其他程序语言与数据库程序语言与数据库如如PHP JSP.ASPX 原理大同小异原理大同小异区别很小区别很小现在学习的是第10页，共21页（2-2）SQL注入漏洞-实测系统需求：windows2003环境:IIS6.0 ASP 基本环境工具:【存在SQL注入漏洞的ASP或其他语言脚本的网站】【啊D注入工具】【或明小子注入工具】现在学习的是第11页，共21页（2-2-1）SQL注入猜密码-实测nSQL注入漏洞是指通过网站存在的SQL注入点修改提交的信息包含特定的SQL语句，实现的SQL注入过程n漏洞检测语句是否存在SQL漏洞n AND(1=1)AND(1=2)n正常流程执行语句nSelect*From news where id=1 n注入修改漏洞语句判断注入存在与猜解作用nSelect*From news where id=1 AND(1=1)AND(1=2)现在学习的是第12页，共21页n演示猜解方法与流程现在学习的是第13页，共21页（2-2-2）SQL注入提权-实测n 与之前注入区别不是注入解密猜库语句而这个注入的是cmd SHELL语句可以提权与进一步控制电脑用啊D扫描出注入点复制注入点在CMD上传操作执行相关注入。现在学习的是第14页，共21页n演示 SQL注入提权方法与流程现在学习的是第15页，共21页（2-3）SQL注入漏洞-解决办法工具软件解决办法：工具软件解决办法：安装安全狗或其他同类产品，也可以杜绝此类安全漏洞程序解决办法：程序解决办法：需要网站程序设计者检查修改涉及提交与信息发布的程序页面，并且做出过滤与替换处理例如(单引号)and select 进行特殊字符过滤现在学习的是第16页，共21页现在学习的是第17页，共21页n演示 or 万能密码漏洞方法与流程现在学习的是第20页，共21页感感谢谢大大家家观观看看现在学习的是第21页，共21页

注意事项

本文（网络安全维护网站安全与维护课件.ppt）为本站会员（石***）主动上传，淘文阁 - 分享文档赚钱的网站仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知淘文阁 - 分享文档赚钱的网站（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。