none
黑客是如何攻击静态网页的? RRS feed

  • 问题

  • 如果黑客攻击动态网页, 这很好理解. 因为数据要回发. 黑客可以关闭浏览器
    的JavaScript功能, 绕过客户端验证. 这样就可以输入非法字符了. 
    而且, 如果数据库没用存储过程, 那么就被SQL注入了.

    但是, 很多时候, 黑客是直接攻击静态的网页, 就是.htm网页. 
    几年前, 中国的黑客就在美国的政府网站(http://www.usa.gov/)上插入
    中国国旗. 现在, 黑客进入三鹿的网站, 把三鹿集团
    改成三氯氰胺集团了. 他们是如何实现的?


    如果IIS 6.0连.htm网页都保护不了, 那么就更不可能保护.aspx, 
    Web.config文件了. 至于SQL Server嘛, 就等着数据被窃取后崩溃吧.


    能解释一下吗?

    2008年9月15日 7:12

答案

  • 有些网页虽然是 html 的~但是有些表单或者 javascript 可以提交数据~就像一些静态网页中的留言功能~还有一些网站用了 url 重写~看起来是静态网页~其实是动态网页~也可以通过入侵同台服务器的其他站点然后获取一定的服务器权限后再更改该服务器上的任何站点

    2008年9月15日 13:17
    版主
  • 首先,要理解攻击,攻击是不分静态还是动态页面的,你的理解是因为局限于注入攻击,真正的黑客想必是不会在这里给你回答的,我就自己了解的知识说两句好了:

    1、攻击不一定要从你的页面直接对你的服务器发起,例如:我用一个系统漏洞,让你在浏览页面的时候中木马,获取你的管理员帐号密码并登陆服务器修改主机内容,然后销毁痕迹后溜走,要么,我可以从网站静态页面中看到管理员或其他人员邮箱,发送木马邮件,重复上述步骤。 所以说,攻击不一定是从页面直接向服务器发起;

    2、攻击不一定要执行脚本(Javascript脚本或SQL注入或Shell注入),例如:如果Lighttpd爆出一个BUG,在执行.html页面输出的时候会解析某些shell命令(当初IE爆出过这个BUG,就是所谓的URL字符串溢出攻击),这时候就会在没有及时修补BUG的机器上造成攻击的可能,这个可以多理解一下WEB服务器的编写和执行方式,通常,即便是静态页面,需要读取系统某个文件夹下的静态内容并呈现出来,是一个WebServer的基本任务,这个权限,我想对于任何一个黑客都已经够大了吧?但总体来说,只要用的对头,IIS还是很安全的!不要被黑了就说系统或WebServer不安全,多注意,看看自己是否用对了,多从自己身上找原因;

    3、攻击不一定要获取服务器用户名密码,如果想要修改一个站点的主页,应该有很多方式的,前阵子爆出,CNNC被黑了,域名解析直接跳转黑客填写的网站,还有前阵子爆出的DNS漏洞和TCP/IP漏洞等等,这些都可能导致服务器上的页面不被正确访问,所以,多关注新闻,如果再牛一点儿,自己去找操作系统、互联网通信协议、路由器、交换机……和WEB服务相关的漏洞去吧。

     

    一点儿愚见,仅供参考!~~
    2008年9月15日 18:46

全部回复

  • 有些网页虽然是 html 的~但是有些表单或者 javascript 可以提交数据~就像一些静态网页中的留言功能~还有一些网站用了 url 重写~看起来是静态网页~其实是动态网页~也可以通过入侵同台服务器的其他站点然后获取一定的服务器权限后再更改该服务器上的任何站点

    2008年9月15日 13:17
    版主
  • 首先,要理解攻击,攻击是不分静态还是动态页面的,你的理解是因为局限于注入攻击,真正的黑客想必是不会在这里给你回答的,我就自己了解的知识说两句好了:

    1、攻击不一定要从你的页面直接对你的服务器发起,例如:我用一个系统漏洞,让你在浏览页面的时候中木马,获取你的管理员帐号密码并登陆服务器修改主机内容,然后销毁痕迹后溜走,要么,我可以从网站静态页面中看到管理员或其他人员邮箱,发送木马邮件,重复上述步骤。 所以说,攻击不一定是从页面直接向服务器发起;

    2、攻击不一定要执行脚本(Javascript脚本或SQL注入或Shell注入),例如:如果Lighttpd爆出一个BUG,在执行.html页面输出的时候会解析某些shell命令(当初IE爆出过这个BUG,就是所谓的URL字符串溢出攻击),这时候就会在没有及时修补BUG的机器上造成攻击的可能,这个可以多理解一下WEB服务器的编写和执行方式,通常,即便是静态页面,需要读取系统某个文件夹下的静态内容并呈现出来,是一个WebServer的基本任务,这个权限,我想对于任何一个黑客都已经够大了吧?但总体来说,只要用的对头,IIS还是很安全的!不要被黑了就说系统或WebServer不安全,多注意,看看自己是否用对了,多从自己身上找原因;

    3、攻击不一定要获取服务器用户名密码,如果想要修改一个站点的主页,应该有很多方式的,前阵子爆出,CNNC被黑了,域名解析直接跳转黑客填写的网站,还有前阵子爆出的DNS漏洞和TCP/IP漏洞等等,这些都可能导致服务器上的页面不被正确访问,所以,多关注新闻,如果再牛一点儿,自己去找操作系统、互联网通信协议、路由器、交换机……和WEB服务相关的漏洞去吧。

     

    一点儿愚见,仅供参考!~~
    2008年9月15日 18:46
  •  

    谢谢Snowdreams和Shadowkun了. 看来当黑客很Cool呀.

     

     

     

    2008年9月16日 4:55