SQL Injection sårbarheter i nätverket via angrepp, JS script, HTML scripting attacker tycks spela över mer än stark. En efter en av de många webbplatser som plågas av sådana attacker, inte gillade den mottagande sårbarhet kan repareras omedelbart, attacken från webben, så att vi i förebyggande eller reparation som ger en hel del besvär. En webmaster är den mest smärtsamma detta. Hur starkt ditt lösenord till angriparen alltid har funnits, men hur kan vi uppnå verklig trygghet? Första, inte lösenord och länka ditt liv, för det andra Supermaster den HSB bara du vet bäst , för det tredje, absolut nödvändigt att förbättra webbplatsen programmet. Men hur man kan förbättra, kommer detta att vårt slutgiltiga mål i denna artikel.
Säkerhet, hur man gör säkerheten? Vill ha skydd är nödvändigt att veta hur man attackera varandra. Många artiklar är skrivna för att fånga en viss webbplats i själva verket vägen för deras attacker, men även följande:
1. Enkel scripting attack
Sådana angrepp bör problem det är tråkigt. Till exempel ****: alert (); så, på grund av ett filter är inte i närheten av vad angriparen inte bara tillgänglig, men han kan vara störande för ändamålet. Många webbplatser närvarande kostnadsfri tjänst eller ett program på sin egen webbplats inte är absolut en filtrering problem.
2. Farliga scripting attack
Sådana attacker har varit över till manus kan stjäla en administratör eller annan användare information om omfattningen. Till exempel vet vi alla, stjäla cookies, använd skriptet på den lokala klienten skriva mer.
3. SQL-injektion utnyttjar
Man kan säga att denna attack är att utgå från Dongwangluntan och BBSXP. Filtrering med SQL specialtecken inte är tät, och över databasfrågan attacker. Till exempel:
http://127.0.0.1/forum/showuser.asp?id=999 och 1 = 1
http://127.0.0.1/forum/showuser.asp?id=999 och 1 = 2
http://127.0.0.1/forum/showuser.asp?id=999 och 0 (SELECT COUNT (*) från admin)
http://127.0.0.1/forum/showuser.asp?id=999'', förklarar @ en sysname uppsättning @ en =''xp_''+
''Cmdshell''exec @ a''dir c :''---& stöd = 9
Få administratörslösenord har kontroll: hela stationen behöver inte vara värd för privilegier, utan även för detta steg att göra en hel del föreställning. SQL Injection attacker liknande sätt och innebär många olika fil filtret inte om att lägga ned frågan på olika sätt. Så för att göra en komplett karaktär filter där förfaranden inte nästa ansträngning är omöjligt.
4. Remote injektion Attacks
En sida av den så kallade filtrering endast lämna in ett enkelt formulär sida JS filtrering. För den genomsnittlige användaren, behöver du inte hindra, de överlagda attacken berörs, verkar inte vara en sådan filtrering effekt. Vi säger ofta att POST-attacken är ett exempel. Insänt av fjärrkontrollen angrepp olaglig information för att uppnå syftet.
Genom beskrivningen ovan av attack metoder, vi vanligtvis förstår angriparna sätt, följande beskrivning fokuserar vi på i början, hur effektivt förebygga script attacker!
Så vi börjar från det enklaste:
Mot script attacker
JS skript och HTML-scripting attacker är mycket enkel: Server.HTMLEncode (STR) bin. Klart att du inte gråta, hur skulle det vara? För att ni ger mig till stationen Jag tycker inte om alla tillägg för att filtrera slut? För att underlätta filtrering, vi behöver bara HTML skript och JS skript för att filtrera bort vissa viktiga tecken kan : förfarandet kropp (1) enligt följande:
"Följande är en filterfunktion
"Följande är Applikationsexempel
Användarnamn = CHK (byt ut (begäran (användarnamn "),"''",""))
Inkludera funktion skriven med hjälp av offentliga sidan, så effektiv är den bästa.
Förfarande kropp (1)
Dessutom är det värt vår uppmärksamhet är att många användare av webbplatsen att registrera eller ändra sida användaren information är också en brist på manus filtrering, eller bara i ett filter, ändra informationen registreras i post-script kan fortfarande attackera. Uppgifter från en användare att upptäcka och filtrera följer programmet kroppen (2) som:
"Följande är en filterfunktion
Om Instr (begäran (användarnamn "),"=") 0 eller
Instr (begäran ("användarnamn "),"%") 0 eller
Instr (begäran ("användarnamn"), Chr (32)) 0 eller
Instr (begäran ("användarnamn "),"?") 0 eller
Instr (begäran ("användarnamn "),"&") 0 eller
Instr (begäran ("användarnamn "),";") 0 eller
Instr (begäran ("användarnamn "),",") 0 eller
Instr (begäran ("användarnamn "),"''") 0 eller
Instr (begäran ("användarnamn "),"?") 0 eller
Instr (begäran ("användarnamn"), Chr (34)) 0 eller
Instr (begäran ("användarnamn"), Chr (9)) 0 eller
Instr (begäran ("användarnamn"), "") 0 eller
Instr (begäran ("användarnamn "),"$") 0 eller
Instr (begäran ("användarnamn ")," ") 0 eller
Instr (begäran ("användarnamn ")," ") 0 eller
Instr (begäran ("användarnamn "),"""") 0 då
Response.Write "vän, att lämna in ditt användarnamn innehåller otillåtna tecken, ändra, tack för att återvända"
response.end
slut om
Förfarande kroppen (2)
För att ge effektivitet strävar vi efter att ytterligare filtrera innehållet i förfarandena, så filtrering effektiviteten i olika parametrar kommer till stor del höjas såsom program organ (3)
"Efter huvudprogrammet
dunkel Bword (18)
Bword (0 )="?"
Bword (1 )=";"
Bword (2 )=" "
Bword (3 )=" "
Bword (4 )="-"
Bword (5 )="''"
Bword (6 )=""""
Bword (7 )="&"
Bword (8 )="%"
Bword (9 )="$"
Bword (10 )="''"
Bword (11 )=":"
Bword (12 )="|"
Bword (13 )="("
Bword (14 )=")"
Bword (15 )="--"
Bword (16) = "chr (9)"
Bword (17) = "chr (34)"
Bword (18) = "chr (32)"
ERRC = false
"Följande är några exempel på tillämpning
för i = 0 till ubound (Bword)
Om InStr (FQYs, Bword (i)) 0 då
ERRC = sant
slut om
nästa
om ERRC sedan
Response.Write ""
response.end
slut om
Förfarande kropp (3)
Med ovanstående filter funktion som du kan placera i tillämpningen av någon anledning att filtrera filtrera funktion direkt på den. Detta leder oss till att återställa arbetet förenklas avsevärt.
Dessutom mer än jag vill påminna än en gång kommer ett litet antal anläggningar under uttryck av UBB-ikon visas när filtret omvandling fråga, eftersom den var gömd är inte lätt att hitta:
Såsom:
Vi ändra texten etiketter,
Visste inte att du förstår, innan ett enda anbud och förfaranden som föreskrivs i den vänstra citattecknet enkla citattecken används i den andra och avslutade rätt citattecknet, så produktionen process som:
ARP attack är inte ett virus - och därmed nästan alla antivirusprogram för alla hjälplösa, men det är värt ett virus - eftersom den saktar ned ljus kan orsaka kommunikation, nätverk förlamning kommer vikt orsaka information läckage. Under årens lopp har ARP attack alltid existerat, men inte en bra lösning. Många Internet-användare drabbas, nätverkshantering personal inte kan börja, olycklig. I denna studie, introducerar analysen av ARP-protokollet och fusk princip detta papper hur man ska genomföra ARP attacker, hur man fastställer ARP attack lider, hur man förebygga och lösa ARP attack.
1.ARP avtalet och bedrägeri teori
(1) Ethernet fungerar. Ethernet i datapaket skickas ut, först måste vi dela (den största grupp av paket), förpackningar (i nätverkslagret lägga källan IP-adress och målet IP-adress i datalänkslagret att lägga källan MAC-adressen och nästa hop MAC-adress) till en binär bitström, processen visas i figur I-1. Paketen når målet efter genomförandet av processen för att skicka den motsatta sidan, är flödet av binära bitar i ramen, lösning paketet (datalänkslagret första målet för MAC jämfört med samma lokala nätverk kortets MAC eller broadcast MAC, som samma är Ta bort ram header, sedan förmedla Nätverksskikt paket, kasserats eller, Nätverksskikt mål-IP-adress jämförs med samma maskin, kommer samma att fortsätta att ta, annars kasseras). Om avsändaren och mottagaren i samma nätverk, nästa hop MAC är målet för MAC, till exempel sändare och mottagare inte på samma nätverk, nästa hop MAC är porten MAC. Av denna process är inte svårt att hitta dataöverföringshastigheten Ethernet bara veta IP-adressen för målet är inte nog, också måste känna till nästa hopp MAC-adress, detta kräver hjälp av annan titta på avtalet, ARP (Address Resolution Protocol).
Figur I-1 data packa och packa
2) ARP fungerar. Dator innan du skickar data i paket, jämfört med målet IP-adress, fastställa källan och målet inte samma segment, såsom samma nätverk segment, paketet mål MAC, om inte i samma nätverk segment, paketet gateway MAC. Innan förpackning, se maskinens ARP cache för att se om det finns någon motsvarande nästa hop IP-och MAC-poster kartläggning, om de direkta inkapsling, om inte så skicka ARP förfrågan paketet. ARP förfrågan och paket svar av det format som visas i figur I-2, fråga paketet "Ethernet destination adress" för 0xffffffffffff broadcast-adress, "Ethernet källa adress" som bygger nätverkskort MAC-adress av maskiner, "Frame Type" är 0x0806 sade ARP svar eller begäran, "hårdvara typ" Ethernet-adressen för 0x0001, sade, "protokoll-typ" för att IP-adress 0x0800, "OP" för ARP begäran eller svar, ARP-begäran paket OP värde av 1, ARP-svar paket med OP är 2, "Ethernet avsändarens adress, MAC-adressen för avsändaren," avsändare IP "som avsändarens IP-adress" i syfte Ethernet-adressen "här för 0x000000000000," syftet IP "för kontrollera MAC-adress IP. Skicka det här paketet att sända till nätet, är alla datorer i nätverk som får detta paket, bara den lokala IP-adressen för "att IP" datorn svarar på detta paket, och svara på detta paket. När börjar sända få detta ARP chu svar packet senare, datapaketen motsvarande tillgång till mål-IP-MAC-adress, och då kan inkapslade.
Figur I-2 ARP-fråga och svar paket format
(3) ARP bedrägeri. I TCP sekvensnummer och bekräftelse nummer genom olika områden, till genomförandet av tre-vägs handskakning säkerställa tillförlitligheten i data, ARP en statslös protokoll, vilket innebär att med eller utan att skicka ARP förfrågan till maskinen så länge ARP svar paket, kommer datorn inte lägga till validering för att ta emot, och uppdatera sina ARP cache. Efter ca ARP fungerar så länge avsikten att fylla figur I-2 på vissa områden kan uppnå effekten av ARP attack: IP-adress konflikt, ARP bedrägeri, ARP-attacker.
P adress konflikter. Lokala IP-adressen till den dator känner av om de metoder som används på Internet är syftet med maskinen IP-adress som IP-adress, skicka ett ARP förfrågan paket om de erhållna svaret anges IP-adressen har använts i Internet, popup-IP-adress som ska användas dialogrutan frigöra IP-adressen för maskinen. ARP angripare utnyttja denna princip, med godtycklig MAC-adress (utan att vara en riktig angripare MAC-adress) fylld med "avsändare Ethernet-adress"-fältet, använder IP-adressen för angriparen var fylld med "avsändare IP"-fältet används av angriparen riktiga MAC-adressen för att fylla "adress syftet Ethernet"-fältet, använder IP-adressen för angriparen var fylld med "syfte IP"-fältet, OP av värdet av "2", som visas i figur I-3 . När angriparen som inkommer efter detta ARP Response, ansåg kommissionen att maskinens IP-adress på nätverket har använts, popup-dialogrutan IP-adress konflikter.
Figur I-3 IP-adress konflikter ARP svar paket
ARP fusk: enligt figur I-4, PC1 är angriparen, angriparens mål är "PC2 avbryta kommunikationen med en gateway." PC1 genererar en ARP svar paket ", avsändarens IP" fyller i som en gateway IP-adress, "avsändare Ethernet-adressen" fylla ett icke-gateway MAC-adress (denna adress kan vara slumpmässigt genererade), "Mål IP" fyller i PC2 IP-adress, "att Ethernet-adressen" fyller i PC2 MAC-adress. Värd PC2 få de senaste efter ARP svar paketet, kommer det att använda denna gateway inte är det rätta MAC-adressen för att uppdatera sina ARP-cachen bord, efter detta felmeddelande efter PC2 inkapslade MAC-adress, vilket gör att paketet efter inkapsling kan inte riktigt nå porten, PC1 liknande igen skicka en felaktig ARP svar paketet till porten, "avsändarens IP" fyller i IP-adress i PC2, "Ethernet avsändarens adress," fylla i en icke-PC2 MAC-adress (detta adress kan genereras slumpmässigt), "Mål IP" fylla i porten IP-adress. Gateway ARP ha erhållit sådan information sparas på fel karta cache PC2 poster. PC1 och PC2 till porten skickar regelbundet ett sådant paket, så att den åldrande sina ARP tabeller, vilket hindrar dem från att nå syftet med meddelandet.
Figur I-4 ARP fusk diagram
ARP attack. Att som middle-attacker (Man-in-the-middle attack), och ARP fusk liknande, bara PC1 skickar ARP begäran, som fyller i "avsändare Ethernet-adressen" inte är slumpmässigt genererat, men byter ut PC1 maskiner MAC-adress, öppna PC1 routingfunktionen - ändra (lägga till) registret alternativ HKEY_LOCAL_ MACH INE SYSTEMCurrentControlSetServicesTcpipParametersIPEnableRouter = 0x1, medan knacka programvaran på PC1, PC2 och avlyssna all kommunikation mellan gatewayen paketet.
2. Implementera ARP attack
Här är två ARP attack att använda programmet, topologi som visas i figur I-5.
Figur I-5 ARP attack
Mjukvaran används främst för den första attacken, störningar av normal nätverkstrafik, såsom visas i figur I-5, 2 i den virtuella maskinen för att installera "nätverk domaren" programvara, förstöra den virtuella maskinen 1 och den normala kommunikationen mellan den verkliga maskinen experimentet åtgärder är följande.
Korrekt konfigurerad IP-adress på datorn. Virtual Machine 1 korttyp brygga, är IP-adress 192.168.1.220, mask 255.255.255.0, gateway 192.168.1.1, är DNS 218.2.135.1. Virtual Machine 2 korttyper brygga, är IP-adress 192.168.1.210, mask 255.255.255.0, gateway 192.168.1.1, är DNS 218.2.135.1. IP-adressen till den riktiga maskinen 192.168.1.200, mask 255.255.255.0, gateway 192.168.1.1, är DNS 218.2.135.1.
2 i den virtuella maskinen för att installera WinPcap. Utdrag nätverk domare. Rar "fil, dubbelklicka på" WinPcap30.exe "filen för att starta installationen WinPcap.
2 i den virtuella maskinen är installerad i nätverket domare. Dubbelklicka på "Nätverk domare spricka version 2,8. Exe" fil för att installera nätverk domare.
Kör nätverket domare. Första körningen domare, öppna dialogrutan visas i figur I-6, vilket tyder på att övervakning parametrar.
Figur I-6 kontrollparametrar
Eftersom bara ett nät block, välj den översta rutan kortet kontrollera, klicka på "OK". Som framgår av Figur I-7 för att öppna val reglerområdet dialogrutan ange övervakning intervallet är noterat på kortet där alla tillgängliga IP-adressen subnät, klicka på diagrammet i "Lägg till / redigera" och tillade omfattning, klicka på "OK".
Figur I-7 kontrollera omfattningen av valet
Attack före provet. 1 på en virtuell maskin, öppna DOS-fönster, skriv ping 192.168.1.200-t, kontinuerlig pinga IP-adressen till den riktiga maskinen kan hittas är genom. Stäng inte fönstret.
Började anfalla. Magistrate programvara kan övervaka nätet till samma subnät till alla inloggade värdar domare i nätverket administrationsgränssnittet, högerklicka på den riktiga maskinen, i snabbmenyn väljer du "manuellt hantera", som visas i figur I-8.
Figur I-8 domare gränssnitt
Som framgår av Figur I-9 i dialogrutan väljer det tredje alternativet "mot alla andra värdar ...", klicka på" Start "och sedan den virtuella maskinen kan hittas mellan 1 och verklig maskin testa ping Start Tips "Begäran gjorde timeout", skär kommunikation av. Real miljö kan du också bara välja "Förbud och viktiga Värdanslutning ..." och klicka sedan på "nyckeln master", genom att lägga till adressen till gateway, så att de attackerade datorn och gateway förbindelse avbryts, och LAN-dator oavbruten kommunikation mellan.
Figur I-9 förvaltning dator manual
Andra stycket i den programvara som används för att stjäla värdefull information, som visas i figur I-5 i den virtuella maskinen för att installera en "Kain & Abel" programvara, undergräver den verkliga maskinen virtuella maskinen 1 och den normala kommunikationen mellan experimentella åtgärder är följande.
Installeras på den virtuella maskinen en Kain och Abel. Dubbelklicka på "ca_setup.exe" filen för att starta installationen, till installationen nära korsningen när du ombeds att installera WinPcap4.0, som visas i figur I-10, välj "Installera" för att starta installationen WinPcap4.0.
Figur I-10 för att installera WinPcap4.0
Kör Kain och Abel. Dubbelklicka på skrivbordet, "Kain" ikonen, öppna Kain & Abel ledning gränssnittet, klicka på administrationsgränssnittet i "Start / Stop Sniffer" ikonen, som visas i figur I-11 för att börja fånga paket.
Figur I-11 började Sniffer
Enligt lösenord för hubben. Klicka på kartan I-11 i toppen av "Sniffer" tab, då klick under "Lösenord" fliken och börja fånga upp lösenord och känslig information, inklusive e-post, Telnet, FTP och så vidare. I den virtuella maskinen 2 öppna en Telnet tjänst, i den verkliga maskinen telnet 192.168.1.210, och ange användarnamn och lösenord, se figur I-12 vänstra navigeringsfältet för att fånga en Telnet snabb information.
Figur I-12 övervaka känsliga uppgifter
Klicka på det vänstra navigeringsfältet i "Telnet", i katalogen i den högra kolumnen, högerklicka på fångst av posten, snabbmenyn, välj "Visa", öppen som visas i figur I-13 anteckningsboken papper, från inte svårt att se användarens namn är administratör lösenord Cisco. Siffran för varje bokstav i ordet administratör visa två gånger, eftersom en gång en telnet eko.
Figur I-13 att fånga lösenordsfil
Lösenordet för övergången miljön. Bara mycket lätt att få lösenord, eftersom den virtuella maskinen virtuella maskinen 1 och 2, och de verkliga maskinerna är anslutna till de verkliga datorns nätverkskort, motsvarande alla anslutna i ett nav, den verkliga miljön, desto oftare strömbrytare, kommer två switchar inte värd eller en värd och porten till passera trafiken mellan angriparens värd. Då behöver använda ARP bedrägeri, klicka enligt Figur I-12 under "ARP" fliken och klicka sedan på "Lägg till listan" ikonen i verktygsraden, som visas i figur I-14.
Figur I-14 att öka ARP fusk till listan
Öppna ARP poster som visas i figur I-15, till vänster för att välja en IP-adress, rätten att välja en IP-adress, kommer att hålla två IP-adresser luras.
Figur I-15 val genom att lura datorn
Klicka på "OK" knappen för att återvända, och klicka sedan på Diagram I-11 som visas i verktygsfältet "Start / Stop Sniffer" ikon till höger om "Start / Stop ARP"-ikonen för att börja genomföra ARP bedrägeri, vilket visas i figur I-15 urval kommunikation mellan datorer en överföring från den virtuella maskinen, virtuell maskin ett naturligt sätt kan få känslig information mellan dem explicit. Mot denna bakgrund säkerhet byta nät risker föreligger.
3. Ta reda lider ARP attack
ARP spoofing attack beskrivs ovan kan inte leda till överbelastning på nätet, men läckage, följt av att införa en lösning. Avgöra om det är första ARP attack Metoden är enkel, följ dessa steg.
Kontinuerlig ping kan inte komma åt IP-adressen. I problemet datorn (virtuell maskin 1) av DOS-fönster, skriv "ping 192.168.1.200-t", används för att testa nätverksanslutningen, 192.168.1.200 är inte normal kommunikation dator (Detta är den verkliga maskinen), det aktuella projektet ersättas kan inte komma åt samma segment av målet datorns IP-adress. Om du lider av ARP attacker kommer skärmen att bli ombedd att "Request time out".
I de drabbade datorn (virtuell maskin 1) Föregående att öppna ett annat DOS-fönster, skriv "arp-d" är ARP ett DOS kommando för att lösa IP-adressen för motsvarande nätverkskort MAC-adress-d att rensa cachen i alla IP på maskinen och motsvarande MAC-adress. Om du upptäcker att steg 1 i fönstret innehållet i en varaktig "Svar från ... ...", ARP som har utsatts för attacker, har nu normaliserats, Om bara det fanns en "Svar från ... ..." paketet har ryggen blivit en "Request time out"-paket, och då datorn är genomgå fortlöpande ARP attack.
4. Hur förebygga och lösa ARP attack
ARP attack lösningar varierat, men på grund av olika restriktioner som kan väldigt lite genomföras så småningom, även en slags hittar inte genomförandet. Följande lösningar inte uttömmande, men oavsett hur det faktiska nätverksmaskinvaran utrustning, kommer att kunna hitta den lämpligaste lösningen.
Metod 1: Efter en domare har hittats, ARP attacker, om attacken kvarstår, offrets dator genomförandet av "-ARP D", genomförandet av "arp-a", en roll som visas på datorn alla ARP-cachen . Från vilken vi kan hitta några poster, är ett rekord porten eller få tillgång till målet värd, finns det en annan post kan det finnas flera. Mer än genomförandet av flera "arp-d", "arp-a", Sammanfattningsvis finns i huvudsak den största bit in ARP IP-adressen till den verkliga angriparen.
Fördelen: Det är enkelt, lämplig för nästan alla i nätverket miljön, utan understöd av mjukvara och kräver inte kunskap om nätverkshantering är mycket professionella, kan du identifiera angriparen, sedan angriparen för nät isolering. Nackdel om angriparen bara förstörelse, inte för kontroll, arp "-a" ser inga tillförlitliga uppgifter om den.
Metod 2: I målenheten och offret dators IP-adress och MAC respektive statisk adress bindande. Till exempel genomförandet av datorn:
"Arp-s 192.168.1.1 00-AA-00-62-C6-09"
I dirigering eller koppling (där endast Cisco-utrustning till exempel) för att utföra:
"Cisco-6509 (config) # arp 192.168.1.2 0009.6be2.3ca3 ARPA"
Behovet av att skydda målenheten IP-adress och MAC-adress bindande för olaglig inresa ARP attack utan hål. Inte alla användare har rätt till sin egen utrustning vid porten att använda IP-adress och MAC-adress bindande, men kunderna kan göras åtminstone i sina egna datorer till gateway IP-adress och MAC-adress bindande det bästa göras en batch-fil varje gång datorn startar, allt genomförande av filen med den här metoden effektivt kan undvika att anfalla andra läckan.
Denna metod har fördelen att relativt småskaligt tillämpning av nätet. Nackdelen är svårigheten att genomföra, större, mer om Internet värd och värd frekventa förändringar, som universiteten i denna grupp varje år och forskarstuderande nytt att rapportera, fortfarande bunden till stora arbetsbörda, svårt att genomföra, för mycket bundet utrustning kommer att påverka exekveringshastighet och minska effektiviteten, även ARP attack skulle inte påverka Internet, men ett stort antal ARP-paket som skickas eller för att ta upp en hel del användbara bandbredden, utrustning som behövs för att stödja statisk bindning funktion.
Metod 3: Använda Dynamic ARP Attorney-teknik, i kombination med funktioner DHCP, IP och MAC för att uppnå de automatiska bindande. I likhet med den metod och metod 2, men bindande sker automatiskt och kan sättas in när det gäller tillgång lagret växeln kommer den olagliga ARP paketet byta kasseras, intresserade vänner, för att hitta teknisk dokumentation tillhörande utrustning.
Fördelen är det bästa sättet att lösa ARP attack, inte behöver hjälp av ledningen, kan de olagliga ARP paketen inte tillgång till nätverket. Det finns varken skadar eller påverkar nätverkets prestanda. Nackdelen är att kräva att administratören har bättre teknik, begärt stöd av nätverksutrustning, Cisco-enheter stödja denna funktion minst tre (flera inhemska företag när det gäller tillgång skikt med hjälp av tre enheter), många tillverkare av utrustning stöds inte än.
Metod 4: Managed switch, med en minut kan du hitta angriparen. 1 i den tidigare lösningen kan du hitta MAC-adressen för målet IP inte är en riktig MAC, MAC-adress i denna anmärkning, om MAC är "0050.bae3.2305", i de förvaltade switchar (där endast Cisco-utrustning exempel) för att utföra:
"Cisco-2950 # visar arp | inkludera 0050.bae3.2305
Internet 10.168.168.9 239 0050.bae3.2305
ARPA FastEthernet1/17 "
Den första raden är genomförandet av beslut, ett enkelt "visa arp" visar alla växlar lära MAC-adresser, är MAC attack mycket svårt att hitta, "| inkludera 0050.bae3.2305" spela en filtrering funktion, bara visa motsvarande rad . Den andra raden är genomförandet av resultaten, hittar du MAC-adressen från Fa1/17 hamn. Hitta hamnen värden finns motsvarande angripa källan, om porten inte är ansluten till en dator, men en annan switch, upprepa metoder tills du hittar den ultimata datorn.
Fördel med metoden är den mest möjligt att genomföra snabbare, alla lyckades switchar stöder den här funktionen, rekommenderas starkt. Nackdelen är att det finns många enheter använder fortfarande opåverkad switch eller hubb.
Metod 5: opåverkad switch eller hubb i det enskilda fallet kan du använda 10 minuters tid för att hitta angriparen. Att vara angriparens dator (virtuell maskin 1) att öppna två DOS fönster, ett fönster genomförandet av "ping 192.168.1.200-t", en annan DOS fönster intermittent genomförandet av "arp-d", om ett antal Taiwan och Afrika nätverk rörtyp switch eller hubb i sin tur avbröt sin makt, när det blev den andra DOS-fönster med en varaktig "Svar från ... ...", då kan man dra slutsatsen från denna ARP nätverk attack källa enheter. Tog att återställa strömmen till enheten, kabeln dra ner en rot, då hitta en andra DOS-fönster med en varaktig "Svar från ... ...", då kan man dra slutsatsen att nätverkskabeln är ansluten utrustning är ARP attack källa. Om denna sökmetod långsamt, kan du använda binär sökning, det vill säga hälften av en pull linje, mäta vad som i allmänhet inte mer än 10 minuter kan du hitta attacken källan.
Fördel med metoden är lämplig för nästan alla nätverksmiljöer. Nackdelen är att genomförandet av upp lite hårt, den bästa typ av strömbrytare eller nätverket den ersatte.
Metod 6: vanliga användare självräddning. Som en vanlig Internet-användare till nätet reparationen inte kan lösas i tid, skriva en batch fil för att köra datorn kan lösa problemet ARP attack. Batchfilen enligt följande:: en
Arp-d
Ping 1.1.1.1-n 1-w 100
Gå till en
Till textfil som a.bat, och dubbelklicka sedan på genomförandet av användarens dator öppnas ett DOS-fönster kommer programmet slinga, inte stänga fönstret ARP attacker kan lösa problemet. Om ARP avlägsnandet metoden är för långsam, kan du ändra dessa 100 (för 0.1s) till önskat värde.
Denna metod har fördelen att den vanliga användaren ARP attack problemet kan lösas, för nästan alla nätverksmiljöer. Nackdelen är att det ofta klart ARP cache, broadcast ARP paket att skicka oftare, kommer hon fram en ytterligare belastning på datorn och nätverket.
Om bilden inte finns, då taggen aktivera skript onerror genomförande. För apostrof har filtrering platser, som här, komplett med dubbla citattecken. **** För filtrerade fältet och endast alert () också kan. Så vi måste filter för att filtrera helt inte ger angriparen möjlighet att lämna ett spår.
Förhindra SQL Injection utnyttjar
Man kan säga här verkar vara i fokus för hela artikeln. SQL Injection sårbarhet på diversifiering också gör processen skydd måste vi tänka på lite mer. SQL Injection i ansiktet av en stark "stötande", vad vi i slutet av filter?
Risken för att vissa vanliga tecken har
Databas fields''closed Diskriminering
- Markera en del av databasen anteckningar
# Vissa databas anteckning tecken
"Kan leda till misstag,
Cross katalog
3221143836nicode teckenkodning funktioner
$ Kan användas för variabel etikett
/ Och samma
NULL försiktiga "tom" post i risken med behandling kan leda till att databasen eller systemet fel, använda överflöde fel struktur.
Med plats and''to bygga sql injeciton
= & Om den andra parametern kan skrivas querystr.
(1) från de mest allmänna. SQL Injection utnyttjar tanke: användarnamn och lösenord om filtrering problem, såsom:
Författare: Användarnamn:''eller''''='' användarens lösenord är:''eller''''=''
Från processen kan vi komma till följande databas
Sql = "SELECT backup bin conf config uppgifter eshow_sitemap.html generate.sh logga maint sitemap.html svn lUsers tmp VARIFRÅN Användarnamn ='''' eller''''='''' och Lösenord ='''' eller ''''=''''"
På detta sätt, så kommer SQL Server returnera alla poster lUsers tabellen, medan ASP skriptet kommer att misstas för en angripare att komma in en lUsers den första posten i tabellen, vilket gör att angriparen användarens inloggningsnamn webbplats. Verkar för att förhindra denna typ av injektion är mycket enkel:
Använd följande procedur kan uppnås, programmet kroppen (4)
strUsername = Ersätt (Request.Form ("Användarnamn"), "''''", "''''''''")
strPassword = Ersätt (Request.Form ("Lösenord"), "''''", "''''''''")
Förfarande kropp (4)
(2) för att förhindra SQL-injektion attacker, är det första steget att använda en mängd olika säkerhet innebär kontroll från ASP begäran objekt (anmodande, Request.QueryString, Request.Form, Request.Cookies och Request.ServerVariables) användardata, att se till att SQL-kommandot tillförlitlighet. Särskilda skyddsåtgärder varierar beroende på din DBMS.
SQL-injektion attacker kan orsaka skador på miljön beroende av webbplatsens programvara och konfiguration. När webbservern till aktören (dbo) av sin identitet för att komma åt databasen med hjälp av SQL-injektion attack, vilket kan ta bort alla former, skapa nya former och så vidare. När servern till super user (SA) för att öppna identitet databas genom att använda SQL injection attack, som skulle kunna kontrollera hela SQL-servern, i vissa konfigurationer kan en angripare även skapa egna användarkonto att fullt manipulera databasen finns i Windows-servern.
Såsom:
http://127.0.0.1/forum/showuser.asp?id=999'', förklarar @ en sysname uppsättning @ en =''xp_''+
''Cmdshell''exec @ a''dir c :''--& stöd = 9
http://127.0.0.1/forum/showuser.asp?id=999'', förklarar @ en sysname uppsättning @ en =''xp''+
''_cm''+'' Dshell''exec @ a''dir c :''--& stöd = 9
Kan även utföra gillar: nät förbrukaren fqy fqy / lägga till den här kommandot. Naturligtvis kräver att du kört den aktuella status måste vara Sa, eller du attackera bara en virtuell värd, jag råda dig att sluta där.
För vissa webbplatser för maskinen att använda port 80 för att förhindra attacker från maskinen direkt för att få administrativa rättigheter, har det blivit nödvändigt. Filter på xp_cmdshell bli det viktigaste, finns många webbplatser med hjälp av förfaranden GET och POST eller GET att lämna uppgifter, blandat, och för detta ger vi ett sätt att undvika SQL-injektion förfarande GET beteende: t.ex. programmet organ (5)
fqys = Request.ServerVariables ("query_string")
dunkel nothis (18)
nothis (0) = "net user"
nothis (1) = "xp_cmdshell"
nothis (2) = "/ add"
nothis (3) = "exec% 20master.dbo.xp_cmdshell"
nothis (4) = "net localgroup administratörer"
nothis (5) = "välj"
nothis (6) = "count"
nothis (7) = "ASC"
nothis (8) = "char"
nothis (9) = "mitten"
nothis (10 )="''"
nothis (11 )=":"
nothis (12 )=""""
nothis (13) = "in"
nothis (14) = "ta bort"
nothis (15) = "drop"
nothis (16) = "trunkera"
nothis (17) = "från"
nothis (18 )="%"
ERRC = false
för i = 0 till ubound (nothis)
Om InStr (FQYs, nothis (i)) 0 då
ERRC = sant
slut om
nästa
om ERRC sedan
Response.Write ""
response.end
slut om
Förfarande kroppen (5)
Jag vill peka uttalande är: Ovanstående förfarande är ett GET-metoden på uppgifter som lämnats av filtret, inte blint gäller.
Liksom andra föremål från ASP begäran (anmodande, Request.QueryString, Request.Form, Request.Cookies och Request.ServerVariables) attack metod för metoder användardata, till stor del koncentrerad i skriptet variabel är det förväntade antalet variabel input (ID ), naturligtvis kan vi inte bara titta på antalet variabler, såsom:
http://127.0.0.1/systembbs/showtopic.asp?tid=99&name=abc''och vänster (userpasswor
d, 1) =''en
http://127.0.0.1/systembbs/addtopic.asp?tid=99&name=abc''och userpasswor
d =''eller''''=''
Dessutom, hur en injektion för att undvika misstag så här?
http://127.0.0.1/systembbs/addtopic.asp?tid=99'', radera forum_forum - & page = 33
Förebyggande program: program kropp (6)
...... Addtopic.asp? Action = lägg ......
...... Addtopic.asp? Action = delect ......
Åtgärd 1 = trim (Request.QueryString ())
om de lämnas (åtgärd 1, 7) "action =" then''must begränsas till action = QueryString
fel (err01)''felhantering
annat
action = Request.querystring ("åtgärd")''för att få värdet av QueryString
slut om
Select Case action''to uppgörelsen om QueryString
fall "lägg till"
.....
fall "ta bort"
......
fall else''if den QueryString är inte detta värdet för felhantering
fel (err02)
Därför väljer
Förfarande kropp (6)
En sådan attack inträffar, så att våra webbansvariga har huvudvärk igen, här kan jag ge dig en lösning på det bästa sättet, i allmänhet, användarnamn längd, antal tecken inte överstiger 15 tecken, de flesta av de 14 tecken . Då vi går från längden för att filtrera: Om programmet kropp (7)
Name = ersätta (namn ,"''","")
Om len (namn) 16 sedan
Response.Write "Du gör vad?"
Response.end
Avsluta om
Förfarande kropp (7)
为什么我们这里以及过滤了单引号,怎么还要再次取一个长度限制呢?不多说了,看看4ngel的文章先<<饶过''限制继续射入>> .别问我怎么转数字格式,我不会,嘿嘿...^_^!
还继续回到我们的主题," 脚本期望的输入变量是数字变量 (ID)".怎样进行注入防范,天呐,方法太多了,最直接的就是判断是否是数字整型,还有一些比较个性的验证办法,我们一一介绍一下 如:程序体(8)
一,判断数字是否是整型
p_lngID = CLng(Request("ID"))
二 取字长 这一点我相信一般的数据长度不会大于8位所以:
If len(ID)>8 then
response.write "bedpost"
response end
end if
三 我认为这是一种比较冒险的办法,就是再进行一次数据库的查询,如果数据库表内没有相同的值与之相同那么返回错误.
sql = "SELECT NAME FROM Category where ID="&ID
set temp=conn.Execute(SQL)
if temp.bof or temp.eof then
response.Redirect("index.asp")
annat
cat_name=temp("name")
end if
set temp=nothing
‘上面的是数据ID 的检测,下面则是正式的查询
sql = "SELECT ID T_ID, NAME FROM Category where ID="&ID&" ORDER BY xh asc"
rs.open sql,conn,1,1
四,我自己常用的数据过滤脚本,专利,呵~
id=replace(id,"''","")
If len( request("id"))>8 then ‘ 为什么取长度上面程序中已经说明
response.write ""
response.end
annat
If request("id")<>"" then ‘取不为空则是为了防止一些程序页中会出现空值情况,如果不在这里做判断,程序会校验出错.
If IsNumeric(request("id"))=False then '' 风清扬修改 ID数据监控程式
response.write ""
response.end
end if
end if
end if
程序体(8)
由于我个人的编程习惯,我喜欢将所有的数据检验程序全部保留到整站的公用程序中,比如:conn.asp啦,只需要写一次就可以修复全站的问题.
说到这里,我提一点关于攻击的问题,就是跑用户密码或者是用户名,一般常用的就是
....../show.asp?id=1 and 0<>(select count(*) from admin where id=3 and left(username,1)=''a'')
这样去一个一个尝试,当然我们不能在这里提什么Perl程序去跑密码,程序是别人写,要自己知道原理.这里我只是想给个比较方便的办法就是取ASC码范围.这个要比单独跑要快很多.不论是是字母,数字,汉字,特殊字符,他们总会有对应的ASC码,用以下办法:
....../show.asp?id=1 and 0<>(select count(*) from admin where id=3 and asc(right(left(username
e,3),1)) between 1 and 10000) 剩下的就随你了,一般的从97到122就可以啦,字母嘛,很快D.呵呵,有人想用mid 函数当然也是不错 asc(mid(username,2,1)) between 1 and 10000 也成.
如何更加有效的防止SQL注入攻击?我们将在下面的文章中具体提到!
防范远程注入攻击
这类攻击在以前应该是比较常见的攻击方式,比如POST攻击,攻击者可以随便的改变要提交的数据值已达到攻击目的.又如:COOKIES 的伪造,这一点更值得引起程序编写者或站长的注意,不要使用COOKIES来做为用户验证的方式,否则你和把钥匙留给贼是同一个道理.
比如:
If trim(Request. cookies ("uname"))="fqy" and Request.cookies("upwd")
="fqy#e3i5.com" then
........more.........
End if
我想各位站长或者是喜好写程序的朋友千万别出这类错误,真的是不可饶恕.伪造COOKIES 都多少年了,你还用这样的就不能怪别人跑你的密码.涉及到用户密码或者是用户登陆时,你最好使用session 它才是最安全的.如果要使用COOKIES就在你的COOKIES上多加一个信息,SessionID,它的随机值是64位的,要猜解它,不可能.例:
if not (rs.BOF or rs.eof) then
login="true"
Session("username"&sessionID) = Username
Session("password"& sessionID) = Password
‘Response.cookies("username")= Username
‘Response.cookies("Password")= Password
下面我们来谈谈如何防范远程注入攻击,一般的攻击都是将单表提交文件拖到本地,将Form ACTION="chk.asp" 指向你服务器中处理数据的文件即可.如果你全部的数据过滤都在单表页上,那么恭喜你,你将已经被脚本攻击了.
怎么才能制止这样的远程攻击?好办,请看代码如下: 程序体(9)
‘个人感觉上面的代码过滤不是很好,有一些外部提交竟然还能堂堂正正的进来,于是再写一个.
‘这个是过滤效果很好,建议使用.
if instr(request.servervariables("http_referer"),"http://"&request.servervariables("host") )<1 then
response.write "处理 URL 时服务器上出错。
如果您是在用任何手段攻击服务器,那你应该庆幸,你的所有操作已经被服务器记录,我们会第一时间通知公安局与国家安全部门来调查你的IP. "
response.end
end if
程序体(9)
本以为这样就万事大吉了,在表格页上加一些限制,比如maxlength啦,等等..但天公就是那么不作美,你越怕什么他越来什么.你别忘了,攻击者可以突破sql注入攻击时输入框长度的限制.写一个SOCKET程序改变HTTP_REFERER?我不会。网上发表了这样一篇文章:
------------len.reg-----------------
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt扩展(&E)]
@="C:Documents and SettingsAdministrator桌面len.htm"
"contexts"=dword:00000004
-----------end----------------------
-----------len.htm------------------
----------end-----------------------
用法:先把len.reg导入注册表(注意文件路径)
然后把len.htm拷到注册表中指定的地方.
打开网页,光标放在要改变长度的输入框上点右键,看多了一个叫扩展的选项了吧
单击搞定! 后记:同样的也就可以对付那些限制输入内容的脚本了.
怎么办?我们的限制被饶过了,所有的努力都白费了?不,举起你de键盘,说不。让我们继续回到脚本字符的过滤吧,他们所进行的注入无非就是进行脚本攻击。我们把所有的精力全都用到ACTION以后的页面吧,在chk.asp页中,我们将非法的字符全部过滤掉,结果如何?我们只在前面虚晃一枪,叫他们去改注册表吧,当他们改完才会发现,他们所做的都是那么的徒劳。
ASP木马
已经讲到这里了,再提醒各位论坛站长一句,小心你们的文件上传:为什么论坛程序被攻破后主机也随之被攻击者占据。原因就在......对!ASP木马!一个绝对可恶的东西。病毒么?非也.把个文件随便放到你论坛的程序中,您老找去吧。不吐血才怪哦。如何才能防止ASP木马被上传到服务器呢?方法很简单,如果你的论坛支持文件上传,请设定好你要上传的文件格式,我不赞成使用可更改的文件格式,直接从程序上锁定,只有图象文件格式,和压缩文件就完全可以,多给自己留点方便也就多给攻击者留点方便。怎么判断格式,我这里收集了一个,也改出了一个,大家可以看一下: 程序体(10)
''判断文件类型是否合格
Private Function CheckFileExt (fileEXT)
dim Forumupload
Forumupload="gif,jpg,bmp,jpeg"
Forumupload=split(Forumupload,",")
for i=0 to ubound(Forumupload)
if lcase(fileEXT)=lcase(trim(Forumupload(i))) then
CheckFileExt=true
exit Function
annat
CheckFileExt=false
end if
next
End Function
‘验证文件内容的合法性
set MyFile = server.CreateObject ("Scripting.FileSystemObject")
set MyText = MyFile.OpenTextFile (sFile, 1) '' 读取文本文件
sTextAll = lcase(MyText.ReadAll): MyText.close
''判断用户文件中的危险操作
sStr ="8|.getfolder|.createfolder|.deletefolder|.createdirectory|
.deletedirectory"
sStr = sStr &"|.saveas|wscript.shell|script.encode"
sNoString = split(sStr,"|")
for i = 1 to sNoString(0)
if instr(sTextAll, sNoString(i)) <>0 then
sFile = Upl.Path &sFileSave: fs.DeleteFile sFile
Response.write "
"& sFileSave &"文件中含有与操作目录等有关的命令"&_
"
"& mid(sNoString(i),2) &",为了安全原因,不能上传。"&_
"
"
Response.end
end if
next
程序体(10)
把他们加到你的上传程序里做一次验证,那么你的上传程序安全性将会大大提高.
什么?你还不放心?拿出杀手锏,请你的虚拟主机服务商来帮忙吧。登陆到服务器,将PROG ID 中的"shell.application"项和"shell.application.1"项改名或删除。再将"WSCRIPT.SHELL"项和"WSCRIPT.SHELL.1"这两项都要改名或删除。呵呵,我可大胆的说,国内可能近半以上的虚拟主机都没改过。只能庆幸你们的用户很合作,否则......我删,我删,我删删删......
小结
如何更好的达到防范SQL Injection的攻击?这里我个人给推荐几个办法,第一,免费程序不要真的就免费用,既然你可以共享原码,那么攻击者一样可以分析代码。如果有能力的站长最好还是更改一下数据库表名,字段名,只修改关键的admin, username, password就可以了,比如forum_upasswd 这样的字段名谁能猜到?如果你猜到了,最好赶快去买彩票吧,特等奖不是你还会有谁呢?另外,一般站点的关键就在于管理员的密码,很好的保护好你的管理员密码那是至关重要的,至少10位的数字字母组合。另外加上现在大多数站点程序都会使用MD5来加密用户密码,加上你密码的强壮性,那样你站点的安全性就大大的提高了。即使出现了SQL Injection漏洞,攻击者也不可能马上拿下你的站点。