hzhost虚拟主机系统致命漏洞
广告投放★自助友情CMS落伍广告联盟晒乐广告联盟脉动广告联盟品味广告联盟
广告位可自定样式联系QQ:4285248个文字广告月20元广告联系QQ:428524广告位可自定样式
8个文字广告月20元黄金广告位每月20元广告位可自定样式联系QQ:428524广告位可自定样式
左旋肉碱、全国包邮
买二送一、无效退款

文章浏览→编程相关Mssql→hzhost虚拟主机系统致命漏洞

hzhost虚拟主机系统致命漏洞
hzhost虚拟主机系统致命漏洞


 昨晚受学校老师委托,调查某人资料(是因为在学校BBS上乱发东西所以受到

追查),老师给的ID是zszs11和lymft。这个2个ID看着都很随意,由于以前是

也曾今得到过这个BBS权限所以管理员同志希望我协助维护,所以也给了我一

个管理ID,不过太久没上已经被删除了。于是乎没办法上后台进行操作查询用

户信息,前台查询到的信息太少。zszs11注册邮箱是zszs11@***.com,lymft

则是lymft126@**Z*.com两个人同样因为回复了一个标题为“我们法律系居然

有这样的败类…”的帖子而删除记录,帖子也不在了,所以没办法继续追查,

但是猜测这2个ID都是马甲,但是没有确凿的证据就无法乱下定论,于是就有

了下面的一次检测过程。

  检测环境:

  服务器:IIS6.0 (无服务器漏洞)

  虚拟主机平台:HzHost

  FTP:Serv-u6.4 (因为目录不存在访问权限所以没利用价值)

  端口开放情况:

  127.0.0.1:21.........开放

  127.0.0.1:1433.........开放 (Mssql) 很开心有这个…

  127.0.0.1:3306.........开放 (Mysql)

  127.0.0.1:3389.........开放

  127.0.0.1:5631.........关闭

  127.0.0.1:8080.........开放

  127.0.0.1:43958.........关闭 (再次说明没利用价值)

  前面旁注得到一个普通Asp+Access站点的过程这里就不详细说明了,主要

讲后面深入渗透和获取权限个过程和思路。

  

  虚拟主机权限设置的非常死,连信息都无法查看。

3911111111111哪种最适合 六大身份认证大比拼

计算机系统不擅长鉴别授权用户和区分他们与外部人员。现代计算机网络和大

众公认的商业惯例要求计算机系统和网络的操作者考虑他们的系统包涵或处理

的信息的敏感性,考虑到未授权访问带来的风险,通常情况下,适宜的做法是

建立一套用户的可追究责任系统。

  从目前来看,已经有密码认证、PIN码认证、“智能卡”、生物识别、

CHAP认证、双因素认证等多种认证体系。不同安全级别的认证方法有很大区别

,安全性是认证方式的最重要的考虑因素,但并非全部。我们还需要关注他们

的兼容性、方便性,以及使用成本等。本文就从几个方面着手,全面分析了当

前几种认证体系,你可以根据自己的实际情况,选择一种适合于你的认证体系

  比拼的原则:可以接受的和适宜的认证

  现代信息安全体系是由三个主要的部分组成,它们是:认证、授权和可追

究责任(审计)。其中认证是这三个因素中最基本的一个,因为它是发生在其他

两个因素之前的。

  术语“认证”或者“用户认证”指的都是确定那些要求访问计算机、网络

或者计算机资源的人的身份。如果不能将一个人从未受限制的人中区分出来,

那么限制这个人行为的授权 就变得没有什么意义了。如果一个用户行为纪录

的可信度受到质疑的话,那么可追究责任或者审计纪录就不能够防止用户权利

的被滥用。如果在身份明确的用户和身份不明用户的要求下,系统都可以给信

息解密的话,那么即使为所有的信息加了密的这个系统也是没有什么价值的。

这一切都意味着在授权规则、系统加密和审计机制发生作用之前必须确定一个

认可的和适当的认证。

  在配置任何一个安全系统时,安全性和方便性之间都会经常存在矛盾。组

织必须在受保护的信息价值和易于使用以及配置可以满足他们需要的系统的成

本之间取得平衡。事实上是,一个“足够安全”并能提供给很多人使用的系统

似乎比一个高安全级别却很少人使用的系统要有价值得多。因为组织有不同的

风险级别,就需要有多种解决方案来满足不同的安全级别。

  在选择、扩展和配置用户认证系统时,提醒您注意以下几点:

  1) 开展一个评估活动来确定面临风险的资源的价值,然后再选择一个适

宜的认证方式。通常情况下,价值低的数据资料可使用固定密码,价值中等的

数据可使用软件认证器,从中等价值到高价值的数据使用硬件认证器。

  2) 在配置基于软件的认证器时,首先要让你的用户们学会保护这一装置

和任何可能含有密钥的数据。

  3) 如果一个账号受到了反复的攻击,使用进攻锁定特性可以自动使这个

账号失去能力。

  4) 要对面临风险的数据的价值进行定期评估。如果风险在不断的增长,

要采取措施来配置更强大的认证系统。

  有一些认证方式与其他方式相比更精密、更具有兼容性、价格也就更加昂

贵。选择“可以接受的和适宜的”认证指的是在一种认证方式所花费用和复杂

性、在受保护信息或资产的敏感性和与认证环境兼容而产生的脆弱性之间取得

平衡。

所属分类:编程相关Mssql    作者:新浪博客    时间:2010-11-20 0:00:00

文章导航