笔者负责一个大型网络的汇聚与核心层设备的维护工作，在实际使用过程中经常要对下属接入层网络连接的进行扫描，漏洞防范等工作，在这些实际工作过程中笔者发现很多下属接入层上的网站和论坛都存在着或多或少的问题，轻者会被入侵者修改论坛和网站信息，重者直接通过这些漏洞入侵站点服务器的操作系统，今天笔者就从实际出发，通过实例来讲解如何修改这些漏洞打造站点和安全论坛的方法。在讲解防范方法前我们先来经历一次由浅入深，循序渐进入侵的全过程。

　　一，漏洞扫描与信息收集：

　　一般来说对于业务网站建立者来说如果自己通过动态语言编写站点平台，那么很容易出现SQL注入的漏洞，就算是网上一些现成的号称由专业人士和公司开发的CMS建站系统以及论坛程序也有这种漏洞出现的可能。所以在入侵之前我们先要对该漏洞进行扫描并对目的站点和论坛进行信息收集工作。

　　笔者选择的是小榕出品的SQL漏洞扫描工具WIS以及WED，具体扫描步骤如下。

　　第一步：通过wis 指令扫描目的站点，WIS程序会搜索目的站点的各个页面查找存在漏洞的页面。(如图1)

　　第二步：在WIS扫描过程中如果发现有问题出现的话会以红色字样表示出来，一般来说SQL注入漏洞只存在于一个网站的某几个页面中，只要能够找到其中之一就可以实现入侵和攻击的目的。(如图2)

　　第三步：扫描完毕后WIS会针对扫描结果进行总结，将搜索到的有漏洞的页面相对路径罗列出来，例如笔者针对目的站点扫描后发现/show.asp?titleid=650这个地址存在SQL注入漏洞，我们将其记录下来。(如图3)

[1]      

--------------------next---------------------