昨天我看了一下網(wǎng)站流量統(tǒng)計(jì)，發(fā)現(xiàn)最近幾個(gè)月來(lái)，站內(nèi)的一篇有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)病毒的訪問(wèn)量居高不下；是計(jì)算機(jī)網(wǎng)絡(luò)病毒，一直是很多人關(guān)心的，包括我們客戶，而黑客也是很多用戶談及色變的，前段時(shí)間，我有看到一篇文章說(shuō)到：“目前，網(wǎng)站入侵已經(jīng)變得非常簡(jiǎn)單，門(mén)檻越來(lái)越低，隨便哪個(gè)菜鳥(niǎo)只要在黑客網(wǎng)站上下載入侵工具，即可開(kāi)始入侵”，那今天我就來(lái)講講，我對(duì)網(wǎng)站入侵的認(rèn)識(shí)！

我們可以看到，現(xiàn)在的網(wǎng)站幾乎都是靜態(tài)的，也就是后綴名為 .htm 或 .html ，不過(guò)動(dòng)態(tài)的網(wǎng)站也是可以見(jiàn)到的，如 php、jsp、asp 這種形式的，但就是這樣的動(dòng)態(tài)網(wǎng)站成了入侵的對(duì)象！因?yàn)槿绻�要入侵那些靜態(tài)網(wǎng)站，成功概率很低，除非直接搞定了這個(gè)網(wǎng)站所在的服務(wù)器，但這就不是網(wǎng)站入侵技術(shù)范疇了；其實(shí)很多時(shí)候，只要一些簡(jiǎn)單的措施，就可以杜絕一大批入門(mén)級(jí)和初級(jí)黑客的，并且對(duì)于普通的企業(yè)網(wǎng)站來(lái)說(shuō)，已經(jīng)比較安全了。那下面我就講講，最常用網(wǎng)站入侵技術(shù)：

注入漏洞：首先我們要說(shuō)的當(dāng)然就是注冊(cè)漏洞了，我們知道這個(gè)漏洞是現(xiàn)在應(yīng)用最廣泛，殺傷力也很大的漏洞，可以說(shuō)微軟的官方網(wǎng)站也存在著注入漏洞。

造成注入漏洞的原因是因?yàn)樽址�過(guò)濾不嚴(yán)禁，可以得到管理員的帳號(hào)密碼等相關(guān)資料，現(xiàn)在有很多工具可以用來(lái)猜解帳號(hào)密碼。

上傳漏洞：利用上傳漏洞可以直接得到WEBSHELL，這也是常見(jiàn)的漏洞。網(wǎng)站入侵者會(huì)在網(wǎng)址后加上/upfile.asp，顯示：上傳格式不正確 ［重新上傳］ ，基本就存在長(zhǎng)傳漏洞，找個(gè)可以上傳的工具（DOMAIN3.5）直接可以得到WEBSHELL；而WEBSHELL其實(shí)只是是個(gè)WEB的權(quán)限，修改別人主頁(yè)都需要這個(gè)權(quán)限，不過(guò)到權(quán)限設(shè)置不好的服務(wù)器，通過(guò)WEBSHELL是可以得到最高權(quán)限的。

暴庫(kù)（也就是直接下載到數(shù)據(jù)庫(kù)）：我們不難看到，一些新手從網(wǎng)上直接下載一個(gè)免費(fèi)的程序，上傳上去就直接用了，而這種站是被黑的主要對(duì)象了；運(yùn)用網(wǎng)上的說(shuō)法就是“交字符得到數(shù)據(jù)庫(kù)文件，得到了數(shù)據(jù)庫(kù)文件，就直接有了站點(diǎn)的前臺(tái)或者后臺(tái)的權(quán)限”；

還在學(xué)校的時(shí)候，老師千叮嚀萬(wàn)囑咐，要想確保數(shù)據(jù)安全，網(wǎng)站在上線后，應(yīng)該進(jìn)行測(cè)試數(shù)據(jù)庫(kù)滲透測(cè)試，不過(guò)據(jù)我在深圳網(wǎng)站建設(shè)公司工作以來(lái)，了解到，這要找專業(yè)的安全公司！除非你自己或身邊有這樣的技術(shù)強(qiáng)人！

如果你要在網(wǎng)上下載這樣的程序來(lái)用的話，最好是要把路徑改一下，并且數(shù)據(jù)庫(kù)文件是以asp結(jié)尾的，就在下載時(shí)，把a(bǔ)sp 換成 MDB，如果還不能下載的話，就是有可能做了防下載！

至于旁注，簡(jiǎn)單的講就是通過(guò)曲線達(dá)到入侵的目的，不過(guò)DOMIAN3.5可以檢測(cè)注入、旁注、上傳等入侵；而COOKIE欺騙的話，其實(shí)是通過(guò)利用工具修改cookie （ID 、md5），欺騙系統(tǒng)認(rèn)為是管理員，從而達(dá)到入侵的目的！