每天活跃在互联网上的应用成百上千万,包括PC端以及目前越来越主流的移动端,不仅有通过浏览器访问的,还有需要安装客户端的,不仅有与服务器强交互的,还有独立运行的本地软件。
而这其中,开源的(包括开放源码的)产品少之又少。但,这并不妨碍一个黑客找出其中的漏洞。换句话说,找漏洞并不需要源码。
当然了,在有源码的情况下,挖洞是一件难度系数指数下降的事情。虽然读懂一个大型软件源码耗时又耗力,但对于黑客来说,可以略去其中大半的代码来阅读,只关心可能造成危险的部分。就像一名建筑工程师看一份大楼的施工图,要看懂大楼的结构、建筑材料、水电线路等等各方各面,而对于《Prison Break》中的Michael Scofield可能只关心地下管道的分布。
那么,在没有源码的情况下,黑客怎么挖洞呢?这种情况,大家可以称之为黑盒。而挖洞,的确需要与程序编辑者持有完全相反的角度和看法。对于输入输出点,程序猿考虑的是正确的输入获得正确的输出,而黑客则考虑特殊的非法输入获得异常的有价值输出。那系统登录来说,程序猿考虑的是用户输入注册的用户名、口令能够在登录时与数据库中的数据匹配成功,而黑客则会尝试引起数据库查询异常的输入作为用户名、口令内容,希望应用返回更多数据库中的有效数据。
对于黑客来说,不知道源码情况下,只要有输入就可以了,不管是应用具有的功能页面,还是一个输入接口,通过一种叫做模糊测试的技术就可以开始你的挖洞之旅。模糊测试可以构造一系列正常和异常的输入值,根据应用的返回来判断脆弱点的存在。
在黑客的武器库中,模糊测试只是其中一个利器,像什么漏扫、逆向、脱壳、注入、暴破等等不一而足。
作为程序猿,在编写程序时不仅要从正向角度完成应用的功能,还需要从黑客角度逆向分析应用在处理异常输入时的反应,才能做出高安全的应用。
如何从网站程序中找网站后台地址?
通常情况下网站后台都在根目录下,比如admin.php,manage.php等文件,比如常见的论坛程序discuz后台地址就是admin.php;还有后台地址无非是/admin,/manage,就织梦系统的默认后台地址/dede
织梦后台更新文档时提示模板文件不存在?
安全设置 1、以下目录:data、templets、uploads、a设置可读写不可执行权限。其中a目录为文档HTML默认保存路径,可以在后台进行更改;2、以下目录:include、member、plus、dede设置为可读可执行不可写入权限。其中后台管理目录(默认dede),可自行修改;3、如果不需要使用会员、专题,可以直接删除member、special目录;4、删除install安装目录;5、管理员帐号密码尽量设置复杂,发布文章可以新建频道管理员,并且只给予相关权限;6、Mysql数据库链接,不使用root用户,单独建立新用户,并给予:SELECT、INSERT、UPDATE、DELETE、CREATE、DROP、INDEX、ALTER、CREATE TEMPORARY TABLES权限;7、定期进行备份网站目录和数据库,并在后台进行文件校验、病毒扫描、系统错误修复;8、改变织梦data目录位置。
如何修改织梦安装目录里面的httpd?
1、在安装后的Apache目录下,有一个conf目录,在这个目录里,有一个”httpd.conf”文件,要做的,就是修改这个文件.。
2、在这个文件里,凡是以”#”开头的每一行,都是无效的,如果你想让你的设置起作用,就要把行首的”#”去掉.
3、找到DirectoryIndex这段.把它改成DirectoryIndexindex.phpindex.htmlindex.html这样,你的网站目录的默认首页是index.php,如果没有index.php系统会自动寻找index.html、html做为默认首页了。
4、注意事项:index.phpindex.Html之间要有一个空格5、另外还可以操作一下其它的:6、找到ServerRoot这段.将它设成你的Apache安装目录,偶的是ServerRoot”D:/ApacheGroup/Apache2″7、找到DocumentRoot这段.把他设成你网站的根目录,偶的是DocumentRoot”D:/ApacheGroup/web。
织梦添加文章时如何设置格式?
把下载好了,这个uploads文件夹下面的东西全部上传到FTP,然后安装是,域名/install/index.php,根据提示安装即可,修改模板的话两个方法(前提你自己已经有模板文件了);
一:直接覆盖默认的模板文件即可;目录(根目录/templets/default/
)二:把模板文件放到一个文件夹下面,然后上传到根目录/templets下面,然后修改后台 系统 ——系统参数——默认模板风格是default 修改成你的文件夹名字即可。
