黑客江湖 第二部分 第六章 活生生的黑客,活生生的入侵 (4)

银河万丈 收藏 0 478
导读:本文全文阅读地址:[URL=http://book.tiexue.net/book_18021.html][size=14]http://book.tiexue.net/book_18021.html[/size][/URL] Cobra打开面前的话筒,吹了吹气,道:“黑客的攻击手段有很多,我今天主要为大家演示其中的两种,SQL注入攻击和溢出攻击。现场的同学可能很多都看不明白,没关系的,我会给大家做一些解释。” Cobra打开面前的电脑,接好投影机,会场的大屏幕就开始显示他电脑上

本文全文阅读地址:http://book.tiexue.net/book_18021.html


Cobra打开面前的话筒,吹了吹气,道:“黑客的攻击手段有很多,我今天主要为大家演示其中的两种,SQL注入攻击和溢出攻击。现场的同学可能很多都看不明白,没关系的,我会给大家做一些解释。”

Cobra打开面前的电脑,接好投影机,会场的大屏幕就开始显示他电脑上的画面了。Cobra打开一个网页,显示出来是一个BBS。“这是一个论坛,大家仔细看一看,会不会觉得很熟悉?没错,这跟你们理工大的BBS是一模一样的,采用的是同样的程序代码!”

这下大家的兴趣就起来了,胡一飞也是紧盯屏幕不放,画面显示出来的论坛确实和理工大的BBS很相似,只是换了块LOGO而已。

“这是我架设在公司备用网站服务器上的BBS,服务器采用微软的服务器操作系统,做过必要的安全设置,安装了防火墙和杀毒软件。现在我就给大家演示一下,如何通过这个论坛,来实现入侵并控制这台服务器的目的!”

现场有人激动得直打颤:“我靠!这可得好好学学,等学会了回头就把学校的BBS给黑掉,让你他娘的食堂饭菜没油水,让你考试不给我过关!”“今天这个报告会可真是没有白来啊。”

“现在的网站,99%都要用到数据库,所谓的SQL注入,就是利用网站对提交数据过滤不严格的漏洞,在提交数据的时候插入一些数据查询语言,从而获取自己想得到的信息的一种黑客手段。”Cobra简单介绍了一下,也没指望底下人的人明白。接着,他在电脑上演示道:“比如我现在访问论坛的这个页面。我在网址后面添加了一句SQL判断语句,这句代码的意思很简单,就是问‘1=1是不是正确的’。答案肯定是正确的,所以我一敲回车键,大家就都看到了,页面正常打开了。

“但如果我问‘1=2是不是正确的’,大家再看,网址提交之后,网页无法正常显示,服务器返回了错误的提示!这是为什么呢?因为1=2本身就是错误的,所以服务器在分析之后,认为你提交的这个网址是错误的,它就不会显示。

“那么大家现在想到了什么?”Cobra突然问现场的人。

现场没人回答。这很正常啊,正确的答案就显示,错误的答案就不给显示,可这能说明什么问题呢?难道问一些1等于几的问题就能入侵了吗?

Cobra等了一会,看没有人回答,就笑了笑,道:“大家想一想,如果我提交的SQL语句不是询问‘1=1是不是正确的’,而是问‘论坛管理员的账号是不是叫做Admin’或者‘他的密码是不是12345’,那么网页会告诉我们什么样的信息呢?”

顿时就有些人明白过来了,胡一飞是最先明白过来的。妈的,这太神奇,如果论坛管理员的账号真的是Admin的话,那么网页就会正常显示出来,否则网页就出错。一个个试下去,总能试出管理员的账号是什么,还能试出他的密码。



0
回复主贴
聚焦 国际 历史 社会 军事
0条评论
点击加载更多

发表评论

更多精彩内容

热门话题

更多
广告 被美日封杀的军事游戏:真正模拟打击日本

经典聚焦

更多
发帖 向上 向下
广告 关闭