入侵網(wǎng)站服務(wù)器的八種攻擊方式　一、WEB服務(wù)器面臨威脅 　　在了解WEB服務(wù)器的安全狀況之前，首先要讓大家了解網(wǎng)站安全的另一面——黑客攻擊。97至98年互聯(lián)網(wǎng)開(kāi)始在中國(guó)興起之時(shí)，黑客就已經(jīng)誕生了，在9

入侵網(wǎng)站服務(wù)器的八種攻擊方式
　一、WEB服務(wù)器面臨威脅

　　在了解WEB服務(wù)器的安全狀況之前，首先要讓大家了解網(wǎng)站安全的另一面——黑客攻擊。97至98年互聯(lián)網(wǎng)開(kāi)始在中國(guó)興起之時(shí)，黑客就已經(jīng)誕生了，在98年印尼排華事件中，中國(guó)黑客對(duì)印尼政府網(wǎng)站的打擊行動(dòng)通過(guò)媒體的渲染，讓黑客一詞進(jìn)入了廣大中國(guó)網(wǎng)民的眼簾。隨著幾次黑客大戰(zhàn)的爆發(fā)以及媒體對(duì)黑客的渲染，讓更多人加入了黑客這個(gè)隊(duì)伍。那么黑客都是通過(guò)怎樣的技術(shù)手段實(shí)施攻擊的呢?97年到2002年以來(lái)，除了比較有名的UNICODE漏洞之外，黑客們大部分都是利用系統(tǒng)的各種溢出漏洞來(lái)實(shí)施入侵，包括像ipc共享空連接漏洞，ida/idq,printer漏洞，rpc漏洞等等。2003年，中國(guó)互聯(lián)網(wǎng)開(kāi)始從01年的互聯(lián)網(wǎng)寒冬逐漸走向復(fù)蘇，盛大、分眾傳媒、空中網(wǎng)等一系列IT企業(yè)分別在納斯達(dá)克上市成功更進(jìn)一步激起了更多IT從業(yè)人員開(kāi)始開(kāi)設(shè)網(wǎng)站和成立IT公司，夢(mèng)想有一日能上納斯達(dá)克拿美國(guó)股民的錢。網(wǎng)站數(shù)量的激增以及大家對(duì)網(wǎng)絡(luò)安全的輕視，導(dǎo)致通過(guò)WEB的各種漏洞來(lái)進(jìn)行入侵的事件越來(lái)越多。SQL注入漏洞隨著黑客高手們一次又一次地使用在拿國(guó)內(nèi)外游戲數(shù)據(jù)庫(kù)和游戲網(wǎng)站的權(quán)限，并高價(jià)賣出，買車買房子之時(shí)，SQL注入以及相關(guān)技術(shù)在黑客的群體中普及開(kāi)來(lái)。黑客們?cè)诒葼?蓋茨先生彌補(bǔ)了大部分系統(tǒng)漏洞之后，開(kāi)始轉(zhuǎn)移方向，發(fā)現(xiàn)基于網(wǎng)站的各種腳本漏洞能非常輕易的使用， 而且能夠通過(guò)提權(quán)來(lái)獲取系統(tǒng)權(quán)限。于是，基于web的腳本漏洞成功黑客們的最愛(ài)。隨后流氓軟件開(kāi)始在中國(guó)的互聯(lián)網(wǎng)大地上盛行了起來(lái)，互聯(lián)網(wǎng)的網(wǎng)站應(yīng)用領(lǐng)域的黑客入侵技術(shù)開(kāi)始流行了起來(lái)。最典型的就是黑客的網(wǎng)站掛馬技術(shù)，這種技術(shù)就是利用網(wǎng)站的漏洞建立或者上傳一個(gè)asp木馬的方式來(lái)獲取網(wǎng)站的WEBSHELL權(quán)限，然后通過(guò)WEBSHELL權(quán)限通過(guò)提權(quán)獲取系統(tǒng)權(quán)限，再接著就是在服務(wù)器的網(wǎng)站里面加入一些惡意的腳本代碼，讓你的電腦在訪問(wèn)網(wǎng)站的時(shí)候，不知不覺(jué)的中病毒和黑客程序，最后你電腦里面的重要資料，QQ號(hào)，網(wǎng)絡(luò)游戲帳號(hào)，網(wǎng)上銀行帳戶里面的現(xiàn)金都會(huì)不翼而飛。 據(jù)專業(yè)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，02年中國(guó)境內(nèi)網(wǎng)站被入侵的比例不到10，而到了06年，中國(guó)境內(nèi)網(wǎng)站被入侵的比例是85。黑客技術(shù)的普及化以及巨大商業(yè)利益的竊取網(wǎng)上銀行的資金，qq號(hào)碼倒賣，網(wǎng)絡(luò)游戲裝備和帳號(hào)的倒賣等地下黑客產(chǎn)業(yè)鏈的形成是導(dǎo)致網(wǎng)站遭遇安全事件的主因。



　　二、WEB的各種攻擊手段

　　1、SQL注入漏洞的入侵

　　這種是asp ACCESS的網(wǎng)站入侵方式，通過(guò)注入點(diǎn)列出數(shù)據(jù)庫(kù)里面管理員的帳號(hào)和密碼信息，然后猜解出網(wǎng)站的后臺(tái)地址