黑客攻击入侵网站的目的是什么?攻击后是不是可以盗取数据库?
比如帮别人修改信息,盗数据,搞破坏。我认识的个黑客就是那么厉害
我的网站数据库被攻击了,产品数据都给我改乱了!
数据库被挂马了吧?我网站以前也遇到过你这样的情况,当时没办法经常备份自己的数据库和网站程序,可是一攻击和挂马就把备份的给上传上去,整天来来 *** 的也不是个事啊,到最后朋友告诉我是网站程序有漏洞导致了数据库被挂马的,病因知道的,但是、不会修补漏洞啊。在网上也搜索了许多网站数据库安全的资料,也试着一个一个的去做安全,就是没有把网站安全给做好,费了我一个星期的经历,到最后还是数据库被挂马,没办法我就试着找找有没有专业做网站安全和数据库安全的安全服务公司,搜索大半天找到了一家,叫sinesafe什么来着,然后他们给我做了网站程序漏洞修补和数据库防攻击安全维护,希望我的经历能帮到楼主。
如何对一个网站进行SQL注入攻击
1.POST注入,通用防注入一般限制get,但是有时候不限制post或者限制的很少,这时候你就可以试下post注入,比如登录框、搜索框、投票框这类的。另外,在asp中post已被发扬光大,程序员喜欢用receive来接受数据,这就造成了很多时候get传递的参数通过post/cookie也能传递,这时如果恰好防注入程序只限制了get,因此post注入不解释
2.cookie注入,原理同post注入,绕过相当多通用防注入
3.二次注入,之一次注入的数据可能不会有效,但是如果将来能在某个页面里面被程序处理呢?注入来了……
4.csrf,适合后台地址已知并且存在已知0day,可以试试用csrf劫持管理员来进行操作(这招其实不属于sql注入了)
5.打碎关键字,比如过滤select,我可以用sel/**/ect来绕过,这招多见于mysql
6.有时候也可以sELeCT这样大小写混淆绕过
7.用chr对sql语句编码进行绕过
8.如果等于号不好使,可以试试大于号或者小于号,如果and不好使可以试试or,这样等价替换
9.多来几个关键字确定是什么防注入程序,直接猜测源码或者根据报错关键字(如"非法操作,ip地址已被记录")把源码搞下来研究
10.记录注入者ip和语句并写入文件或数据库,然而数据库恰好是asp的,插马秒杀
0条大神的评论