攻防兼备 网站入侵原来如此简单

说到入侵网站，最常见的就漏洞注入攻击了，很多网站都具有这样的漏洞。注入漏洞也是最有效也是最简单的入侵网站的途径。网络安全就是网络攻防的一个过程，知道如何攻的才能知道如何防守。下面笔者就自己的亲身经历给大家介绍一下网站漏洞注入攻击。

　　先说一下一般的步骤：

　　首先，寻找注入点，判断数据库类型。

　　分别用下面三中方法测试，看看上面三个网址返回的结果。

　　(1)http://www.xxx.com/1.asp?id=1

　　(2)http://www.xxx.com/1.asp?id=1 and 1=1

　　(3)http://www.xxx.com/1.asp?id=1 and 1=2

　　可以注入的表现：

　　(1)正常显示(这是必然的，不然就是程序有错误了)

　　(2)正常显示，内容基本与(1)相同

　　(3)提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resume next)

　　不可以注入就比较容易判断了，(1)同样正常显示，(2)和(3)一般都会有程序定义的错误提示，或提示类型转换时出错。

说到入侵网站，最常见的就漏洞注入攻击了，很多网站都具有这样的漏洞。注入漏洞也是最有效也是最简单的入侵网站的途径。网络安全就是网络攻防的一个过程，知道如何攻的才能知道如何防守。下面笔者就自己的亲身经历给大家介绍一下网站漏洞注入攻击。

　　先说一下一般的步骤：

　　首先，寻找注入点，判断数据库类型。

　　分别用下面三中方法测试，看看上面三个网址返回的结果。

　　(1)http://www.xxx.com/1.asp?id=1

　　(2)http://www.xxx.com/1.asp?id=1 and 1=1

　　(3)http://www.xxx.com/1.asp?id=1 and 1=2

　　可以注入的表现：

　　(1)正常显示(这是必然的，不然就是程序有错误了)

　　(2)正常显示，内容基本与(1)相同

　　(3)提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resume next)

　　不可以注入就比较容易判断了，(1)同样正常显示，(2)和(3)一般都会有程序定义的错误提示，或提示类型转换时出错。