昨天我看了一下網(wǎng)站流量統(tǒng)計(jì)，發(fā)現(xiàn)最近幾個月來，站內(nèi)的一篇有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)病毒的訪問量居高不下；是計(jì)算機(jī)網(wǎng)絡(luò)病毒，一直是很多人關(guān)心的，包括我們客戶，而黑客也是很多用戶談及色變的，前段時間，我有看到一篇文章說到：“目前，網(wǎng)站入侵已經(jīng)變得非常簡單，門檻越來越低，隨便哪個菜鳥只要在黑客網(wǎng)站上下載入侵工具，即可開始入侵”，那今天我就來講講，我對網(wǎng)站入侵的認(rèn)識！

我們可以看到，現(xiàn)在的網(wǎng)站幾乎都是靜態(tài)的，也就是后綴名為 .htm 或 .html ，不過動態(tài)的網(wǎng)站也是可以見到的，如 php、jsp、asp 這種形式的，但就是這樣的動態(tài)網(wǎng)站成了入侵的對象！因?yàn)槿绻�要入侵那些靜態(tài)網(wǎng)站，成功概率很低，除非直接搞定了這個網(wǎng)站所在的服務(wù)器，但這就不是網(wǎng)站入侵技術(shù)范疇了；其實(shí)很多時候，只要一些簡單的措施，就可以杜絕一大批入門級和初級黑客的，并且對于普通的企業(yè)網(wǎng)站來說，已經(jīng)比較安全了。那下面我就講講，最常用網(wǎng)站入侵技術(shù)：

注入漏洞：首先我們要說的當(dāng)然就是注冊漏洞了，我們知道這個漏洞是現(xiàn)在應(yīng)用最廣泛，殺傷力也很大的漏洞，可以說微軟的官方網(wǎng)站也存在著注入漏洞。

造成注入漏洞的原因是因?yàn)樽址�過濾不嚴(yán)禁，可以得到管理員的帳號密碼等相關(guān)資料，現(xiàn)在有很多工具可以用來猜解帳號密碼。

上傳漏洞：利用上傳漏洞可以直接得到WEBSHELL，這也是常見的漏洞。網(wǎng)站入侵者會在網(wǎng)址后加上/upfile.asp，顯示：上傳格式不正確 ［重新上傳］ ，基本就存在長傳漏洞，找個可以上傳的工具（DOMAIN3.5）直接可以得到WEBSHELL；而WEBSHELL其實(shí)只是是個WEB的權(quán)限，修改別人主頁都需要這個權(quán)限，不過到權(quán)限設(shè)置不好的服務(wù)器，通過WEBSHELL是可以得到最高權(quán)限的。

暴庫（也就是直接下載到數(shù)據(jù)庫）：我們不難看到，一些新手從網(wǎng)上直接下載一個免費(fèi)的程序，上傳上去就直接用了，而這種站是被黑的主要對象了；運(yùn)用網(wǎng)上的說法就是“交字符得到數(shù)據(jù)庫文件，得到了數(shù)據(jù)庫文件，就直接有了站點(diǎn)的前臺或者后臺的權(quán)限”；

還在學(xué)校的時候，老師千叮嚀萬囑咐，要想確保數(shù)據(jù)安全，網(wǎng)站在上線后，應(yīng)該進(jìn)行測試數(shù)據(jù)庫滲透測試，不過據(jù)我在深圳網(wǎng)站建設(shè)公司工作以來，了解到，這要找專業(yè)的安全公司！除非你自己或身邊有這樣的技術(shù)強(qiáng)人！

如果你要在網(wǎng)上下載這樣的程序來用的話，最好是要把路徑改一下，并且數(shù)據(jù)庫文件是以asp結(jié)尾的，就在下載時，把a(bǔ)sp 換成 MDB，如果還不能下載的話，就是有可能做了防下載！

至于旁注，簡單的講就是通過曲線達(dá)到入侵的目的，不過DOMIAN3.5可以檢測注入、旁注、上傳等入侵；而COOKIE欺騙的話，其實(shí)是通過利用工具修改cookie （ID 、md5），欺騙系統(tǒng)認(rèn)為是管理員，從而達(dá)到入侵的目的！