IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

对韩国某手表网站的一次偶然安全检测(1)

2008年11月03日
/

朋友是一个哈韩族,老给我推荐一些韩国出产的一些工艺品,呵呵,说真的,老韩的一些工业品还是不错的,特别是服装挺时尚的,俺女朋友就曾经买过两件,哈哈,穿起来挺漂亮的,最近俺朋友又给我推荐了一个卖手表的网站,直接打开如图1所示,手表看起来不错哦,跟劳力士得一拼哦! 

 
图1 打开手表网站

韩国是美国的小弟,俺是安全爱好者,看到网站就想看看该网站的安全做的如何,当我浏览网站产品时,如果要查看详细情况时,都会自动跳转到登录页面。如图2所示,仅仅查看而已,都要登录,有这个必要吗?到底它网站的安全性如何呢?

 
图2跳转后的登录界面

一、信息收集

1.获取IP地址

首先打开DOS窗口,然后使用“ping XXX.net”获取该网站的真实IP地址,如图3所示,通过ping命令知道该主机应该采取了一些安全措施,丢包率比较高,应该是禁止进行ping等命令。

 
图3 获取真实IP地址

2.使用superscan探测端口

请出俺的扫描工具——superscan,使用supersan3.0扫了一下IP地址为“XX.XX.85.96”的端口开放情况,如图4所示,发现只开了21,22,80端口,从端口开放情况来看,对外提供服务仅仅21和80端口,感觉安全应该还可以,只能从Web和Ftp来入手。

 
图4情况开放情况

3.Ftp口令扫描

使用一些Ftp口令扫描工具对该IP地址扫描,使用了多个字典进行扫描,均未成功,看来Ftp口令扫描攻击方法不行。

说明:

一般站点都会开放Ftp服务,Ftp服务主要用来上传程序等,一般默认会设置在Web目录,因此一旦获取了Ftp口令,就可以跟用户一样“正常”使用Ftp来上传和下载Web程序,通过上传Webshell或者获取数据库等方式来进行渗透和控制。


共5页: 1 [2] [3] [4] [5] 下一页
 第 1 页:  第 2 页:检查SQL注入攻击点
 第 3 页:获取突破点  第 4 页:新的转机
 第 5 页:安全防范措施
发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点