开发学院数据库 MSSQL Server DvBBS 7.x sql到Discuz!5.0图文转换教程阅读

DvBBS 7.x sql到Discuz!5.0图文转换教程

　2007-11-11 12:58:50　来源：WEB开发网　闂傚倸鍊搁崐鎼佸磹妞嬪孩顐芥慨姗嗗厳缂傛氨鎲稿鍫罕闂備礁婀遍搹搴ㄥ窗閺嶎偆涓嶆い鏍仦閻撱儵鏌ｉ弴鐐测偓鍦偓姘炬嫹

闂傚倸鍊搁崐鎼佸磹妞嬪海鐭嗗〒姘ｅ亾妤犵偛顦甸弫鎾绘偐閹绘帞鈧參姊哄Ч鍥х仼闁诲繑鑹鹃悾鐑藉蓟閵夛妇鍘甸梺瑙勵問閸犳牠銆傛總鍛婄厱閹艰揪绱曟牎闂侀潧娲ょ€氫即鐛幒妤€绠ｆ繝闈涘暙娴滈箖鏌ｉ姀鈶跺湱澹曟繝姘厵闁绘劦鍓氶悘杈ㄤ繆閹绘帞澧涚紒缁樼洴瀹曞崬螖閸愬啠鍓濈换娑樼暆婵犱胶鏁栫紓浣介哺閹瑰洤鐣烽幒鎴僵闁瑰吀鐒﹂悗鎼佹⒒娴ｇ儤鍤€闁搞倖鐗犻獮蹇涙晸閿燂拷

濠电姷鏁告慨鐑藉极閸涘﹥鍙忔い鎾卞灩缁狀垶鏌涢幇闈涙灈鐎瑰憡绻冮妵鍕箻鐎靛摜鐣奸梺纭咁潐濞茬喎顫忕紒妯肩懝闁逞屽墮宀ｈ儻顦查悡銈夋煏閸繃鍋繛宸簻鎯熼梺瀹犳〃閼冲爼宕濋敃鈧—鍐Χ閸℃鐟愰梺鐓庡暱閻栧ジ宕烘繝鍥у嵆闁靛骏绱曢崢顏堟⒑閹肩偛鍔楅柡鍛⊕缁傛帟顦寸紒杈ㄥ笚濞煎繘鍩℃担閿嬵潟闂備浇妗ㄩ悞锕傚箲閸ヮ剙鏋侀柟鍓х帛閺呮悂鏌ㄩ悤鍌涘闂傚倸鍊搁崐鎼佸磹妞嬪孩顐芥慨姗嗗厳缂傛氨鎲稿鍫罕闂備礁婀遍搹搴ㄥ窗閺嶎偆涓嶆い鏍仦閻撱儵鏌ｉ弴鐐测偓鍦偓姘炬嫹　　闂傚倸鍊搁崐鎼佸磹閻戣姤鍤勯柤鍝ユ暩娴犳氨绱撻崒娆掑厡缂侇噮鍨堕妴鍐川閺夋垹鍘洪悗骞垮劚椤︻垶宕￠幎鑺ョ厪闊洦娲栨牎闂佽瀵掗崜鐔奉潖閾忓湱纾兼俊顖氭惈椤矂姊洪崷顓涙嫛闁稿妫濋幆鈧い蹇撴祩濡嫰姊洪崫鍕拱婵炲弶岣块幑銏犫攽婵犲嫮鏉搁梺鍝勬川婵兘鎮伴妷鈺傗拻濞达絽鎼敮璺侯熆閻熷府鏀荤紒鍌氱Т楗即宕煎锝呬壕闁哄啫鐗嗙粈鍐┿亜韫囧海顦﹀ù婊堢畺閺屻劌鈹戦崱娑扁偓妤€顭胯閸犳牠婀侀梺缁樕戦悷銉р偓姘煎枤缁粯銈ｉ崘鈺冨幈濡炪倖鍔戦崐鏇㈠几鎼淬劍鐓熼煫鍥ь儏閸旀粓鏌曢崶褍顏€殿喗娼欒灒闁告繂瀚濠碉紕鍋戦崐鎴﹀垂濞差亝鍋￠柍鍝勬噹缁犳牠鏌嶉埡浣告殲闁稿海鍠栭弻鏇㈠炊瑜嶇花濠氭煙閸戙倖瀚�

核心提示： 在用jsp(SUN企业级应用的首选)制作的电子商务网站多如牛毛，但是对于jsp(SUN企业级应用的首选)网站而言，DvBBS 7.x sql到Discuz!5.0图文转换教程(4)，安全性真的能够让人放心吗？面对层出不穷的黑客攻击和病毒袭击，jsp(SUN企业级应用的首选)网站的服务器能够比其他网站的服务器器更加安全

在用jsp(SUN企业级应用的首选)制作的电子商务网站多如牛毛。但是对于jsp(SUN企业级应用的首选)网站而言，安全性真的能够让人放心吗？面对层出不穷的黑客攻击和病毒袭击，jsp(SUN企业级应用的首选)网站的服务器能够比其他网站的服务器器更加安全吗？前段时间，应朋友之邀，我对他们托管的三台服务器的主机进行了测试，发现了jsp(SUN企业级应用的首选)网站存在的几个问题。

入侵测试第一步：扫描
　　扫描是入侵的第一步，它可以让你对即将入侵的目标有一个全面的了解。同时扫描还有可能发现扫描对象的漏洞，为入侵提供一个指导方向。
　　朋友的两台服务器为Linux，一台为Windows系统，在路由器后面还有一台Cisco PIX 525对三台主机进行保护，只允许外部用户连接不同主机的部分端口，例如80,25,110。
　　根据检测，Cisco PIX防火墙过滤规则设置比较严密，基本上没有多余端口允许外部用户访问。细致分析后，我发现，目标网络的主机通过地址转换来提供对外访问，内部使用192.168.*.*地址段。
　　先不考虑那么多，找个扫描软件来看看主机的安全情况。我找来了X-Scan，在外部对这几台主机进行了端口扫描之后，生成了一份关于端口的报表，发现其中有一个tomcat(一个很好用的JSP运行平台)服务器，解释的自然就是jsp(SUN企业级应用的首选)文件了。
小知识：
　　tomcat(一个很好用的JSP运行平台) Web服务器是一款开源的适合于各种平台的免费网络服务器。eBay.com与Dell 计算机等知名网站都采用或者曾经采用tomcat(一个很好用的JSP运行平台)的container容器执行Servlet 与jsp(SUN企业级应用的首选)。
　　看来，只能通过Web服务进行间接攻击。首先检查TCP 80端口的服务。我发现，新闻搜索的功能是由端口8080提供的，输入http:// 202.103.*.168:8080/之后，得到了一个系统管理登录页面，简单地测试了一下，输入“test/test”作为“用户名/口令”，似乎认证成功，但实际上并不能进入下一个页面。
　　专家支招：对于扫描来说，它很容易暴露我们网站的弱势方面。应对扫描，我们可以架设一个蜜罐来误导扫描者，蜜罐可以让系统伪装成到处是漏洞，从而遮蔽真正存在的漏洞，也可以伪装成没有任何漏洞，让入侵者不知道从何入手。
入侵测试第二步：漏洞尝试
　　尝试jsp(SUN企业级应用的首选)各种已知漏洞，这个是在扫描结果中无法获得任何有效信息指导入侵的情况下，被迫使用的方法。这种方法虽然效果不一定好，但是往往能够起到意想不到的效果，从而让入侵继续下去。
　　我进行了jsp(SUN企业级应用的首选)大小写的测试，因为jsp(SUN企业级应用的首选)对大小写是敏感的，tomcat(一个很好用的JSP运行平台)只会将小写的jsp(SUN企业级应用的首选)后缀的文件当作是正常的jsp(SUN企业级应用的首选)文件来执行，如果大写了就会引起tomcat(一个很好用的JSP运行平台)将index.jsp(SUN企业级应用的首选)当作是一个可以下载的文件让客户下载，若干测试后，我发现这个方法并不奏效，可能管理员已经在服务器软件的网站上下载了最新的补丁。
　　我发现大部分的jsp(SUN企业级应用的首选)应用程序在当前目录下都会有一个WEB-INF目录，这个目录通常存放的是JavaBeans编译后的class 文件，如果不给这个目录设置正常的权限，所有的class就会曝光。
　　而采用JAD软件对下载的class文件反编译后，原始的Java文件甚至变量名都不会改变。如果网页制作者开始把数据库的用户名密码都写在了Java代码中，反编译后，说不定还能看到数据库的重要信息。那么，怎么得到这些文件呢？
　　tomcat(一个很好用的JSP运行平台)版本的缺省“/admin”目录是很容易访问的。输入：http://202.103.*.168/admin/，管理员目录赫然在列。默认情况下，“User Name”应该是admin，“Password”应该是空，输入用户和密码后，并点击“Login”按钮，不能进入，陆续使用了几个比较常见的密码，也无济于事。
　　默认情况下，tomcat(一个很好用的JSP运行平台)打开了目录浏览功能，而一般的管理员又很容易忽视这个问题。也就是说，当要求的资源直接映射到服务器上的一个目录时，由于在目录中缺少缺省的index.jsp(SUN企业级应用的首选)等文件，tomcat(一个很好用的JSP运行平台)将不返回找不到资源的404错误，而是返回HTML格式的目录列表。
　　想到了这点后，我打开刚才用X-Scan扫描后生成的报表文件，找到“安全漏洞及解决方案”栏目，看到了几个可能会有CGI漏洞的目录。在地址栏输入其中之一，返回结果如图1所示。