網站漏洞分析

一、經典漏洞
   'or' '='
    這樣的漏洞解決起來也是比較容易的，過濾用戶名和密碼即可，不過也常常被忽視。

二、驗證用戶權限漏洞
   cookies保存在本地機子上記錄用戶的一些信息，顧在本地可以進行惡意修改
   session保存在服務器上，較佔用服務器資源。
    防止此類漏洞的辦法是進行雙重驗證。

三、垮站***漏洞
   例子：<script>alert("test only alert dialog box")</script>
     這僅僅是彈出一對話框，可想而知，掛馬或者跳轉其他站點便很容易實現。
     此類漏洞如被***利用，後果很嚴重，首先受害者是瀏覽網頁的用戶。
   解決方案：過濾 < > % ASCⅡ碼等，簡單的也可以通過限制表單長度解決。

四、注入***漏洞
   http://www.*****.com/edit.asp?id=8
    edit.xxx? xxx=???
     '        判定是否出錯
   ' and 1=1  
     ' and 1=2   通過後倆個看其頁面是否相同，如1正常，2不正常，則可斷定有注入點。

   ../union select 1,2,3,4,5,6,7 form admin 直接對數據進行查詢

    防止這樣的漏洞是過濾 ' " 及ASCⅡ碼。

五、數據庫漏洞
     1、防下載沒有做好
          <% %>
              對於一些.asp和.php網站來說， ../date/#difedate.asp
                可以  ../date/%23difedate.asp
         2、利用跨漏洞寫shell
                如寫藍屏***

總結：所謂漏洞，就是不易被發覺的弱點，想成功***可不是件容易的事，教程之類也只是說說而已，多爲理論，不可不看，也不可多看，關鍵還是靠自己去多鑽研測試。筆記記的較粗略，不過也說明了基本問題，感興趣的慢慢領悟吧。