攻防兼备 网站入侵原来如此简单 (3)

　　下面就是要照管理如口了，点啊D左侧工具栏的“管理入口检测”，很快管理入口也出来了，如图(4)显示。

                                                              图4

　　然后如图(5)打开管理入口页面，接下来只要把用户名和密码输入登录就可以了，然后就可以上传一个“一句话木马”之类的。不过这些可都是违法的，最好不要做。

                                                              图5

　　知道了如何入侵的了，那就要考虑如何防范了。笔者总结了一些经验，供大家参考：

　　首先，网上下载SQL通用防注入系统的程序，在需要防范注入的页面头部用来防止别人进行手动注入测试。但是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。管理员账号及密码就会很容易被分析出来。

　　其次，对于注入分析器的防范，有一种简单有效的防范方法。就是做两个账号，一个是普通的管理员账号，一个是防止注入的账号。如果找一个权限最大的账号制造假象，吸引软件的检测，而这个账号里的内容是大于千字以上的中文字符，就会迫使软件对这个账号进行不停的分析，也不会分析出结果的。

　　1.对表结构进行修改。将管理员的账号字段的数据类型进行修改，文本型改成最大字段255(其实也够了，如果还想做得再大点，可以选择备注型)，密码的字段也进行相同设置。

　　2.对表进行修改。设置管理员权限的账号放在ID1，并输入大量中文字符(最好大于100个字)。并且一定要在管理员登录的页面文件中写入字符限制，同时把真正的管理员密码放在ID2后的任何一个位置。