µãÄ£ÄâÕæÕýµÄºÚ¿ÍÈëÇÖ¹¥»÷·½·¨£¬ÒÔÈ˹¤ÉøÍ¸ÎªÖ÷£¬ÒÔ¹¥»÷¹¤¾ßµÄʹÓÃΪ¸¨£¬ÔÚ±£Ö¤Õû¸öÉøÍ¸²âÊÔ¹ý³Ì¶¼ÔÚ¿ÉÒÔ¿ØÖƺ͵÷ÕûµÄ·¶Î§Ö®ÄÚ¾¡¿ÉÄܵĻñȡĿ±êÐÅϢϵͳµÄ¹ÜÀíȨÏÞÒÔ¼°Ãô¸ÐÐÅÏ¢¡£
Ö÷ÒªÁ÷³ÌÈçÏ£º
¿Í»§Î¯ÍÐÐÅÏ¢ÊÕ¼¯¡¢·ÖÎöÊÇ´æÔÚÔ¶³Ì¿ØÖÆÈõµã·ñ·ñ´æÔÚÔ¶³ÌÆÕͨÈõµãÊÇÐÅÏ¢ÊÕ¼¯¡¢·ÖÎö¿ØÖÆÏµÍ³·ñ»ñÈ¡±¾µØÆÕͨȨÏÞÊDZ¾µØÐÅÏ¢ÊÕ¼¯¡¢·ÖÎö·ñ±¾µØÈ¨ÏÞÉý¼¶¡¢¿ØÖÆÏµÍ³ÊÇÐÅÏ¢ÊÕ¼¯¡¢·ÖÎöÉú³É±¨¸æ
1) ÐÅÏ¢ÊÕ¼¯
ÐÅÏ¢ÊÕ¼¯ÊÇÖ¸ÉøÍ¸²âÊÔʵʩǰ¾¡¿ÉÄÜ¶àµØ»ñȡĿ±êÐÅϢϵͳÏà¹ØÐÅÏ¢£¬ÀýÈçÍøÕ¾×¢²áÐÅÏ¢¡¢¹²Ïí×ÊÔ´¡¢É豸/ϵͳ°æ±¾ÐÅÏ¢¡¢ÒÑ֪©¶´¼°Èõ¿ÚÁîµÈµÈ¡£Í¨¹ý¶ÔÒÔÉÏÐÅÏ¢µÄÊÕ¼¯£¬·¢ÏÖ¿ÉÀûÓõݲȫ©¶´£¬Îª½øÒ»²½¶ÔÄ¿±êÐÅϢϵͳ½øÐÐÉøÍ¸ÈëÇÖÌṩ»ù´¡¡£
2) Èõµã·ÖÎö
¶ÔÊÕ¼¯µ½µÄÄ¿±êÐÅϢϵͳ¿ÉÄÜ´æÔڵĿÉÀûÓð²È«Â©¶´»òÈõµã½øÐзÖÎö£¬²¢È·¶¨ÉøÍ¸²âÊԵķ½Ê½ºÍ²½ÖèÊµÊ©ÉøÍ¸²âÊÔ¡£
3) »ñȡȨÏÞ
¶ÔÄ¿±êÐÅÏ¢ÏµÍ³ÉøÍ¸²âÊԳɹ¦£¬»ñȡĿ±êÐÅϢϵͳÆÕͨȨÏÞ¡£
4) ȨÏÞÌáÉý
µ±»ñȡĿ±êÐÅϢϵͳÆÕͨ¹ÜÀíȨÏÞºó£¬ÀûÓÃÒÑÖªÌáȨÀà©¶´»òÌØÊâÉøÍ¸·½Ê½½øÐб¾µØÌáȨ£¬»ñȡĿ±êϵͳԶ³Ì¿ØÖÆÈ¨ÏÞ¡£
2¡¢ ²âÊÔÓÃÀý 1) SQL ×¢Èë²âÊÔ
ÐòºÅ 1 2 ÏîÄ¿ ²âÊÔ¶ÔÏó ²âÊԳɹ¦±ê×¼ Âë)¡¢webshell¡¢ÐÞ¸ÄÍøÒ³»òϵͳȨÏÞ ²âÊÔÄÚ²¿·ÃÎʵÄweb³ÌÐòÊÇ·ñ´æÔÚSQL 3 4 ²âÊÔÄÚÈÝ Injection©¶´ ²âÊÔÓ°Ïì ÎÞ ÄÚÈÝ WebÓ¦ÓÃϵͳ Äܹ»·¢ÏÖ×¢Èëµã£¬»ñÈ¡Ãô¸ÐÊý¾Ý(ÈçÃÜ2) XSS²âÊÔ
ÐòºÅ 1 2 3 4 ÏîÄ¿ ²âÊÔ¶ÔÏó ²âÊԳɹ¦±ê×¼ ²âÊÔÄÚÈÝ ²âÊÔÓ°Ïì ÄÚÈÝ WebÓ¦ÓÃϵͳ ÀûÓÃXSS£¬ÎªºóÐøÉøÍ¸²âÊÔÌṩ°ïÖú ²âÊÔWebÓ¦ÓóÌÐòÊÇ·ñ´æÔÚXSS©¶´ ÎÞ 3) CSRF²âÊÔ
ÐòºÅ 1 2 3 4 ÏîÄ¿ ²âÊÔ¶ÔÏó ²âÊԳɹ¦±ê×¼ ²âÊÔÄÚÈÝ ²âÊÔÓ°Ïì ÄÚÈÝ WebÓ¦ÓÃϵͳ ÀûÓÃCSRF£¬ÎªºóÐøÉøÍ¸²âÊÔÌṩ°ïÖú ²âÊÔWebÓ¦ÓóÌÐòÊÇ·ñ´æÔÚCSRF©¶´ ÎÞ 4) ÐÅϢй¶²âÊÔ
ÐòºÅ 1 ÏîÄ¿ ²âÊÔ¶ÔÏó ÄÚÈÝ WebÓ¦ÓÃϵͳ ÀûÓÃÐÅϢй¶©¶´£¬»ñÈ¡WEBÓ¦ÓÃϵͳÃô2 ²âÊԳɹ¦±ê×¼ ¸ÐÐÅÏ¢£¬È磺Ŀ¼±éÀú¡¢¹ÜÀíÕ˺š¢Êý¾Ý¿â·¾¶¡¢ÄÚÍøµØÖ·ÒÔ¼°ÍøÕ¾¼Ü¹¹µÈ 3 4 ²âÊÔÄÚÈÝ ²âÊÔÓ°Ïì ²âÊÔWebÓ¦ÓÃÊÇ·ñ´æÔÚÐÅϢй¶©¶´ ÎÞ 5) ÉÏ´«Îļþ²âÊÔ
ÐòºÅ 1 ÏîÄ¿ ²âÊÔ¶ÔÏó ÄÚÈÝ WebÓ¦ÓÃϵͳ Äܹ»³É¹¦ÈƹýÉÏ´«ÎļþÏÞÖÆ£¬ÉÏ´«asp2 ²âÊԳɹ¦±ê×¼ »òÆäËûIIS¿ÉÒÔ½âÎöÎļþ£»Äܹ»Ö´ÐÐÉÏ´«ºóµÄasp»òÆäËûIIS¿ÉÒÔ½âÎöµÄÎļþ ²âÊÔÄÚ²¿·ÃÎʵÄWeb³ÌÐòµÄÎļþÉÏ´«ÊÇ3 4 ²âÊÔÄÚÈÝ ·ñ¿ÉÒÔ±»Èƹý£¬ÉÏ´«aspÎļþ ²âÊÔÓ°Ïì ÎÞ 3¡¢ ÉîÈëÉøÍ¸½×¶Î
ÕâÒ»½×¶ÎÖ÷ÒªÊÇÀ©´óÉøÍ¸²âÊÔÈ¡µÃµÄ³É¹û£¬½øÒ»²½Ä£Äâ¹¥»÷ÕßÔÚ»ñȡĿ±êϵͳµÍȨÏÞ²Ù×÷ʱ½øÐÐȨÏÞµÄÌáÉýÒÔ¼°½øÒ»²½ÉøÍ¸ÆäËûϵͳ¡£
¸Ã½×¶ÎµÄ²âÊÔ·½·¨°üÀ¨£º
? ÀûÓòÙ×÷ϵͳ©¶´ÌáÉýȨÏÞ£» ? ÀûÓÃAutorun.inf»úÖÆ½øÐÐȨÏÞÌáÉý£» ? ÀûÓÃÆäËûÈí¼þ©¶´½øÐÐȨÏÞÌáÉý£» ? ѰÕÒÆäËû·½ÃæµÄ©¶´¡£
3.2.2 °²È«ÆÀ¹ÀÁ÷³Ì