息,想来应该是自己编写的一个系统。之所以这么做,是因为他想找找看,这个网站系统到底是不是网络上在公开了源代码的,如果是从网络上下载的,那么很有可能就人现过一些漏洞,他只要利用搜索引擎搜索一下,没准就能碰巧找到入侵的方法。
这个想法行不通,他只好换一个思路。
这时,他突然看到其中有个页面,有一个校长信箱留言板的链接。
点进去一现真是个留言板系统,已经有不少学生在上面留言,反馈自己对学校网络中心、食堂等部门不满意的地方。
留言板有管理员登录入口。
杜邵峰来了点精神,立刻运行自己的注入工具,然后对这个入口进行一系列的注入测试。
sql注入,是一种非常古老的入侵手段了,当年被公布出来之后,简直在全世界范围内引起了一阵入侵风潮,无数网站或论坛因为程序员编写程序的时候,没有过滤相关输入信息,从而被一些刚刚学会这个入侵方式的菜鸟入侵成功。面对这种攻击,无论服务器上安装了多好多豪华的防火墙,也根本没有任何作用,因为这是完全合法的sql访问,要想防止,只能在提交数据的时候,进行对输入的内容进行严格检查,过滤那些可能引起安全问题的字符(比较常见的是单双引号和等于号)。
基本上,如果网站上存在这个漏洞,只要你懂得sql查询语言,就能够很轻易地登录所有人的帐号,因为只要知道用户名就行了,密码已经被绕过去了。
由于这种漏洞,攻击的方式基本上就那么几种,所以有黑客后来将这些攻击方式总结了一下,然后写成了自己的软件,这样现某个网站有这样的漏洞之后,就不用再手动输入繁杂的代码了,只要使用这个软件,按下一个按钮,就可以针对这个网站进行攻击方式的遍历,唰的一下就出来了。
杜邵峰使用的这个软件,正是一个这样的注入软件。
很不幸的是,编写这个留言板系统的程序员显然对sql注入攻击也很有研究,他将那些可能造成这种危害的特殊字符,全部给过滤了。
杜邵峰的额头有些开始冒汗了,他抬头看了一眼对面的莫天,现他正一脸平静地看着自己的显示器,双手在很连贯地敲击键盘。
不动声色地擦了擦热汗,杜邵峰开始继续寻找另外的方法。
他的焦点还是放在这个留言板上。
反复地查看这个留言板的结构,杜邵峰突然现这个留言板文件的命名规则好像和前面的那个新闻系统命名规则有比较大的差异。
难道这个留言板是一个**的程序?
基于这个想法,他查看了一下留言板的网页源代码。
靠,有了!
杜邵峰心中大喜,他现这个留言板,竟然是网络上一个流传很广的留言板,由于刚刚界面风格变了,他一时间还没看出来。
他之所以对这个留言板程序印象深刻,是因为他的师傅,以前给他上过一课,用的实例,正是针对这个留言板来进行的。
他立刻在浏览器中输入了一个网址,结果提示该网页找不到地址,然后他将网页的后缀名改了一下,重新回车,结果网页中出现了一大片乱码。
杜邵峰精神大振,他此刻已经完全知道怎么入侵了!
而正当他想大显身手的时候,耳边却突然出来一个轻飘飘的声音——
“我已经搞定了。”