WEB开发网
开发学院网络安全安全技术 对某企业站点的安全检测 阅读

对某企业站点的安全检测

 2008-05-09 13:14:56 来源:WEB开发网   
核心提示:笔者近日上网查找资料,不觉进入一家企业网站,对某企业站点的安全检测,这是一家安防产品生产企业,既然是做硬件安全的,通过该功能可以把一更改后缀名(一般为图像文件后缀)的asp(或php、jsp)木马通过备份更改后缀名而获得一个Webshell,但是笔者点击“数据库备份”链接显示“无法找

笔者近日上网查找资料,不觉进入一家企业网站,这是一家安防产品生产企业。既然是做硬件安全的,那企业网站的安全性如何呢?好奇心促使,笔者决定对其网站进行一次友情安全检测。

检测工具:

明小子3.5

抓包工具(Winsock Expert)

网页木马(小马 大马)

一、安全检测

1.查找后台

笔者从一般网站系统默认的后台路径入手,经过几次测试最终确认该企业网站的后台管理地址为:http://www.*.com/admin/Login.asp(图1)

对某企业站点的安全检测

2.测试登陆

笔者首先测试前一段时间N多网站暴露的万能密码漏洞,在用户名及密码框中输入'or'='or',然后填入随机的验证码进行登陆,自动跳转到错误页面提示“用户名或密码错误!”证实该登陆后台不存在此漏洞。(图2)

对某企业站点的安全检测

万能密码失败,决定试试默认登录用户名及密码,毕竟很多人都逃不过社会工程学的预言。于是在用户名及密码框中输入admin,填入随机验证码登陆成功进入网站后台。(图3)

对某企业站点的安全检测

3.上传小马

通过对后台的浏览发现功能比较强大,特别是有备受攻击者青睐的“数据库备份”功能。安全爱好者一定知道,通过该功能可以把一更改后缀名(一般为图像文件后缀)的asp(或php、jsp)木马通过备份更改后缀名而获得一个Webshell。但是笔者点击“数据库备份”链接显示“无法找到该页”,显而易见一定是管理员删除了该页面。(图4)

1 2  下一页

Tags:企业 站点 安全检测

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接