网站渗透分手动和软件自动测试两种,一般两种方式结合都能或多或少的发现网站的一些漏洞或者设计缺陷等等。下面谈谈我个人一般的入侵渗透思路和常用的软件手法等等。

一:手动测试

 
1.了解网站的开发语言,系统环境。
 
一般接到一个网站入侵渗透测试的任务,我都是先手动简单测试一下,了解一下网站的开发语言,系统环境和一些简单的信息.比如网站的是哪种系统,是否使用一些整站程序。判断网站的系统环境我一般是使用ping命令根据TTL值判断。或者用同站长工具看看同服务器网站的一些情况。基本就能判断网站是windows server 2003系统还是linux系统。
判断一个网站是否使用整站程序可以根据一些独有的链接来了解,比如网站注册页面,登陆页面,还有链接形式。不同的整站程序一般在这几个方面都有差别。比如dedecms的注册页面和登陆页面就比较容易辨认;shopex的伪静态链接也很容易识别,还有discuz的论坛首页调用也比较容易判断。如果确定了网站采用了何种整站程序,那就可以用一些现有的整站程序漏洞来测试。
 
2.手动判断网站是否存在一些常见的SQL注入、跨站漏洞。

Sql注入漏洞可以在一些使用到查询的链接处测试,比如产品页,新闻页等等。因为要调用具体的新闻或者产品ID,所以会涉及到SQL查询语句。然后就有可能在一些参数的过滤上做的不是很规范,可以用and,or等来测试判断是否存在SQL注入.
跨站漏洞的形成也是因为参数过滤不严谨,导致可以提交一些敏感的“Javascript”、“<script>”、“#”、“&”等字符。
防范建议:SQL注入和跨站漏洞的防范需要程序员在写程序的时候,在一些参数调用上使用严格的规范,不要因为省事而使用SQL语句拼接等.
 
二:软件自动测试
 
用WWWScan扫描网站的一些敏感目录,看看是否存在编辑器漏洞,默认的数据库路径,同时也了解一下网站使用的时apache,,IIS,nginx等等。编辑器漏洞可以使用已有的一些利用方法,上传网马结合IIS和Apache,Nginx的解析漏洞来完成入侵。
防范建议:ewebeditor删除默认的数据库,或者修改数据库后缀。删除默认的后台登陆页面。Fckeditor删除test.html文件,修改程序禁止建立类似xx.asp这样的文件夹。在IIS上设置一些上传文件所在目录的解析类型,禁止解析.jpg文件等。
用软件WebCruise扫描网站,来查看网站是否存在注入漏洞,跨站漏洞等等。防范建议以上已经列出。
用X-Scan等扫描系统打开的一些端口,比如135,139,445,1433,3306等等。根据不同的端口可以更加具体的测试是否有弱口令等等。
防范建议:配置好系统IPsec安全策略,设置禁止某端口外部IP到本机的通信,做好防火墙规则。1433,3306等注意默认账号的口令安全设置,不要使用弱口令。同时本地安全策略做好通信加密设置,防止嗅探到一些敏感的账号密码。
用御剑等软件查询同服务器网站,然后旁站入侵。
 
以上是常用的一些思路和入侵手法,其实个人感觉一些网站的漏洞等等都是因为管理人员的安全意识缺乏所造成的,所以最主要的是管理人员有很好的安全意识和危机意识。只有具备了不错的安全意识才能很好的做好网站的安全工作。也才会注重网站服务器的安全。