问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

网站,论坛账户密码如何破解?9

发布网友 发布时间:2023-10-01 17:14

我来回答

2个回答

热心网友 时间:4小时前

网络有很多都是不安全的,多多少少会才在些漏洞,看见论坛有人在测试脚本漏洞,我也想测试测试,没有想到的是成功了,所以写了这个文章给大家,让大
家在处理脚本的时候多留心着点。.跨站脚本攻击虽然很少会对服务器造成一些什么比较大的影响,但对于一个站点来说,存在这种漏洞实在是太不值得!小则,弹
点什么东东出来;重则窃取用户的COOKIES资料。更甚者将会G掉浏览者的硬盘.一个站点被变成一个恶意网站,还有谁敢来?如果再加上该站的站长比较"
盲"一些,岂不乱套了?
首先应该让大家知道什么是跨站脚本(很多是copy的,当然有个人的理解,呵呵)
1、什么是跨站脚本(CSS/XSS)?

们所说跨站脚本是指在远程WEB页面的html代码中插入的具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被
解释执行,今天我就把带有能获取cookie信息的脚本嵌入了所发帖子的页面里,并且成功地绕过了论坛对特殊字符的*,具体怎么做,大家等下可以看下面
的。而有时候跨站脚本被称为"XSS",这是因为"CSS"一般被称为分层样式表,搞网站设计的都知道CSS,因为它的功能很强大。或许这很容易让人困
惑,但是如果你听某人提到CSS或者XSS安全漏洞,通常指得是跨站脚本。
2、XSS和脚本注射的区别?

是并非任何可利用脚本插入实现攻击的漏洞都被称为XSS,因为还有另一种攻击方式:"Script
Injection",即脚本注入或者是讲脚本注射,他们之间是有区别的:他们的区别在以下两点:1).(Script
Injection)脚本插入攻击会把我们插入的脚本保存在被修改的远程WEB页面里,如:sql injection,XPath
injection.这个很常见,好象前几个月很多安全网站被黑就是因为脚本里存在注入漏洞,而被一些人利用的。2).跨站脚本是临时的,执行后就消失
了。这个就不同于我们现在讨论的XSS/CSS
了,今天讲的是在页面中插入脚本,这样谁来访问谁的浏览器就执行,如果不被删掉或者是修改编辑的话,就一直存在的。
那么什么类型的脚本可以被插入远程页面?
主流脚本包括以下几种:HTMLJavaScript (这个是我今天测试的VBScriptActiveXFlash

了,进入正题,具体如何检查这个漏洞,大家可以看绿盟Sn0wing翻译的文章《跨站脚本说明》。
3、基本理论首先,讲一下最简单的脚本攻击:<td ></td >(TD
TR在网页中是代表框架的)等HTML字符的过滤问题。先找了个CGI的论坛,以原来ASP的眼光看CGI的站点,我们先注册用户,在用户一栏中填
写<td
>,提交用户注册后发现并没提出非法字符的提示,惨了,看来是有BUG了。注册完成后,点击资料也发现页面变形了.如在其他几个如国家,性别里填写
也会出现同样的问题,那页面就没法看了。于是换了一个站点,再次提交<td
>出现了非法字符提示(比如小榕的),看来站点是已经过滤的<>等HTML的脚本字符,那好,我们改用ASCII
码替换<> 如& #60; &
#62;代替提交后再来看,又出现了上面页面变形的情况(小榕的当然没有了),看来非法过滤机制还不是很完善。

4、简单的脚本攻击如<td
>等HTML格式的代码一定要过滤好,.那我们下面就开始重点讲一下UBB过滤漏洞的问题。因为UBB在现在很多的论坛和免费留言本里都有使用的,
所以需要重点讲下。因为我自己原来的留言本也是这样的,被测试过发现也有这样的漏洞,现在就换了个安全点的。

5、UBB是论坛中用来替换HTML编辑的一种格式符号,如[ b][ /b]可以替换成HTML中的< b>< /
b>,然而就是这一个替换问题,就成了跨站脚本攻击的最佳选择对象。先讲些我们常用的标签,比如img标签,[
img]的过滤,确实很麻烦而且是个老大难问题,关于这个标签的脚本攻击很流行,网上也有很多文章。但是很多站点还是存在这个漏洞,有些根本没有进行过
滤,特别是一些免费留言板的提供站点。下面我们主要讲一下高级问题: 由于[
img]的初级问题*扰,很多站点就对一个敏感的字符开始过滤。比如字段ja,字段doc,已经字段wr等,或者是对字符进行过滤。比如
java,document等等。这样一来,似乎这样的攻击少了很多,使跨站攻击变的神秘并且深奥了,但是我们仍然可以利用ASCII码来代替。

热心网友 时间:4小时前

你好 遗失的星球
网站的账户密码一般有这么几种破解方法
1、通过穷举破解(就是一个个去试)
2、入侵对方的网站,获得对方的数据库,直接查看。
没办法详述。。。可以写成一本书的东西:)
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
有释放证明书可以开无犯罪证明吗 刑满释放人员入党需要公安机关出具怎样证明与无罪证明一样的作用 交通事故私了是要注意哪些问题 【私了注意事项】车祸哪些情况不能私了 交通事故私了要注意什么 私了交通事故要注意的问题 wifi6跟wifi5的区别有什么? 只有吉祥寺是想住的街道吗 演员表 《吉祥寺真的是你想住的街道吗》:每个人都会找到适合自己的街道 日剧《只有吉祥寺是想住的街道吗》为何选择“生きていたん 如何评价日剧《只有吉祥寺是想住的街道吗?》? linux系统用U盘改装win7,安装成功重启后出现这样的画面?怎么回事?高手... 怎么在华为手机上面登录两个码? 高速路况实时查询杭州湾跨海大桥是否封道?5 这几天杭金衢高速上有没有堵车啊,江山到杭州这一段1 为什么我同一身份名下的两个 一个零钱支付限额了另一个却没有... 460029是哪里的身份证号5 海南的车牌号分为琼什么,具体代表那地区的,如琼A是那的?30 北京南站到三河市齐新庄镇怎么走 ...一个能用零钱支付一个不能用怎么回事? 我想买一个王者荣耀有至尊宝皮肤的账号?5 初二物理关于回声的解题方法 行星构造演化样式一般为哪些构造 身份证前面4600后面是302属于哪里的呢? 身份证号码4600开头是哪里的2 新手机号注册微信时要好友辅助注册,好友条件都符合,但是...76 棉子是什么材料的30 用经济学原理分析&quot;薄利多销&quot;和“谷贱伤农”的道理,6 西方经济学:谷贱伤农原理解释154 我在5173账号交易网上买了个cf号,买回来之后才发现他已经...8 企业负债比率越高财务杠杆系数越大财务风险越小 网络剧净搁这乱嘞,剧组用的什么收音话筒啊? 中国建设银行重庆分行渝中支行朝天门分理处行号多少?顺便问一下...2 ...州、盟)是地级市一级的,括号里的“地”是什么意思,是地区吗,地区是... 为什么银行卡有钱微信支付却显示余额不够农行有冻结情况,但解除了? 通信原理怎么学好 水蛭的生殖腺来源于 请问“谷贱伤农”的道理何在?用西方经济学来叙述17 在哪里可以下无主之地21 以经济学理论来分析谷贱伤农的道理102 我的和密码忘了,但是实名认证过,请问怎么找回? 怎么在华为手机上面登录两个码? 微信上为什么会出来两个对方一模一样的? 微信联系人有两个相同的显示两行 实名认证过的和密码忘了,怎么找回? 我的和密码忘了,但是实名认证过,请问怎么找回? 同一张身份证绑定的两个,有一个显示零钱支付超过10万被限制了... 请问如何突破访问站点的限制 乌鲁木齐阳光城银河财智中心售楼部电话多少? ...的很紧就想要把自己融进他生命里的感觉是什么意思啊。 我以日始出时去人近,而日中时远也。的意思是?