還有相關服務的軟體版本……等等等等，掌握這些資訊之後，才能對症下藥，進而發現有關漏洞。 開啟掃描器，將南京大學網站的域名輸入到掃描軟體，執行一會兒之後，結果就出來了，其中包括伺服器的IP地址，並沒有發現什麼輕易就可以利用的漏洞。 看來，對方負責網站建設的，其基本的安全意識還算比較可以。 杜邵峰點開南京大學的網站網頁，在上面慢慢地逛了起來。 透過連結的地址，他有些欣喜地發現，南京大學的網站程式，竟然還是用ASP編寫的。 ASP和PHP，JSP一樣，是一種相當古老的網頁程式語言，隨著微軟伺服器產品的升級，同時將ASP全新升級到，後者較之前者，有極大的優勢，所以漸漸的，ASP漸漸被其取代了。 正因為ASP比較古老，這種程式語言被別人發現的漏洞也是相當多的，而杜邵峰恰好又對ASP相當熟悉，所以這個發現才這麼讓他欣喜。 當然，一個程式安全與否，關鍵不在於它用什麼語言編寫，主要還是要看什麼人在編寫，什麼人在用，並不是說語言越古老，漏洞就越多，相反的例子就是組合語言了，這種語言是真正的上古程式語言，但是至今還發揮著重要的作用，並且用這種語言編寫出來的程式，基本上都是非常安全的。 杜邵峰將這個網站的每個網頁都看了一遍，包括從瀏覽器中看到的原始碼，並沒有發現這個網站系統的任何版本資訊，想來應該是自己編寫的一個系統。之所以這麼做，是因為他想找找看，這個網站系統到底是不是網路上在公開了原始碼的，如果是從網路上下載的，那麼很有可能就人發現過一些漏洞，他只要利用搜尋引擎搜尋一下，沒準就能碰巧找到入侵的方法。 這個想法行不通，他只好換一個思路。 這時，他突然看到其中有個頁面，有一個校長信箱留言板的連結。 點進去一看，發現真是個留言板系統，已經有不少學生在上面留言，反饋自己對學校網路中心、食堂等部門不滿意的地方。 留言板有管理員登入入口。 杜邵峰來了點精神，立刻執行自己的注入工具，然後對這個入口進行一系列的注入測試。 SQL隱碼攻擊，是一種非常古老的入侵手段了，當年被公佈出來之後，簡直在全世界範圍內引起了一陣入侵風潮，無數網站或論壇因為程式設計師編寫程式的時候，沒有過濾相關輸入資訊，從而被一些剛剛學會這個入侵方式的菜鳥入侵成功。面對這種攻擊，無論伺服器上安裝了多好多豪華的防火牆，也根本沒有任何作用，因為這是完全合法的SQL訪問，要想防止，只能在提交資料的時候，進行對輸入的內容進行嚴格檢查，過濾那些可能引起安全問題的字元（比較常見的是單雙引號和等於號）。 基本上，如果網站上存在這個漏洞，只要你懂得SQL查詢語言，就能夠很輕易地登入所有人的帳號，因為只要知道使用者名稱就行了，密碼已經被繞過去了。 由於這種漏洞，攻擊的方式基本上就那麼幾種，所以有駭客後來將這些攻擊方式總結了一下，然後寫成了自己的軟體，這樣發現某個網站有這樣的漏洞之後，就不用再手動輸入繁雜的程式碼了，只要使用這個軟體，按下一個按鈕，就可以針對這個網站進行攻擊方式的遍歷，唰的一下就出來了。 杜邵峰使用的這個軟體，正是一個這樣的注入軟體。 很不幸的是，編寫這個留言板系統的程式設計師顯然對SQL隱碼攻擊也很有研究，他將那些可能造成這種危害的特殊字元，全部給過濾了。 杜邵峰的額頭有些開始冒汗了，他抬頭看了一眼對面的莫天，發現他正一臉平靜地看著自己的顯示器，雙手在很連貫地敲擊鍵盤。 不動聲色地擦了擦熱汗，杜邵峰開始繼續尋找另外的方法。 他的焦點還是放在這個留言板上。 反覆地檢視這個留言板的結構，杜邵峰突然發現這個留言板檔案的命名規則好像和前面的那個新聞系統命名規則有比較大的差異。 難道這個留言板是一個獨立的程式？ 基於這個想法，他檢視了一下留言板的網頁原始碼。 靠，有了！ 杜邵峰心中大喜，他發現這個留言板，竟然是網路上一個流傳很廣的留言板，由於剛剛介面風格變了，他一時間還沒看出來。 他之所以對這個留言板程式印象深刻，是因為他的師傅，以前給他上過一課，用的例項，正是針對這個留言板來進行的。 他立刻在瀏覽器中輸入了一個網址，結果提示該網頁找不到地址，然後他將網頁的字尾名改了一下，重新回車，結果網頁中出現了一大片亂碼。 杜邵峰精神大振，他此刻已經完全知道怎麼入侵了！ 而正當他想大顯身手的時候，耳邊卻突然出來一個輕飄飄的聲音—— “我已經搞定了。”超級系統 ！~！