Web 攻擊在整個網路攻擊體系中的地位和作用是怎樣的？

11-17

Web攻擊是終極目標，還是只是切入點？

重要鋪墊

這個地位和 Web 在整個網路空間所處的地位有關，1995年《喬布斯：遺失的訪談》里喬大爺提到：「未來，互聯網與 Web 是一個大趨勢。」注意：1995年那時有什麼呢？這句話無疑是具備極強預見性的。

如果，我們把網路空間分為三大組成部分（雲-&>管-&>端）來看的話，現在的雲幾乎都是基於 Web 的成熟協議來對外提供服務的，比如 HTTP 協議，最流行的傳輸格式是 JSON，其次如 XML 等。

HTTP 協議的成熟大大促進了端上瀏覽器（或瀏覽器內核）的發展，瀏覽器的發展註定了 Web 的勢不可擋，HTML/XML-&>XHTML-&>HTML5，這種技術架構完美地把背後高冷的信息以可視化的方式呈現在大家面前。

說這些是想說，端上無論是 PC、Pad 還是手機，只要你聯網，Web 的方式或技術是無處不在的。既然 Web 這麼火爆，必定也會成為黑客入侵的重要關卡，必然會形成黑客攻防領域極其重要的分支。

說說歷史小八卦

10來年前，Web 還不是那樣火爆時（啟蒙期），玩 Web 攻擊的（如：SQL 注入、XSS、CSRF）的黑客群體被系統/網路黑客嘲笑為「腳本黑客」，系統/網路黑客才被認為是真正的黑客，分分鐘 ROOT 進伺服器，手握幾打系統/網路 0DAY，簡直就是所向披靡了，而搞個 Web 攻擊，比如 SQL 注入吧，還得拿下資料庫許可權，然後提權，或者拿下 Web 許可權再提權，然後要拿其他類型的伺服器還得內網來內網去，這又不得不回到了系統/網路。

因為 Web 幾乎都是腳本語言組成的，所以搞 Web 攻擊的就被稱為「腳本黑客」了。

之後 Web 脫離啟蒙期，進入青年期時，且系統/網路漏洞越來越稀有的時候，SQL 注入開始所向披靡了，但凡黑個網站十有八九是 SQL 注入，之後文件上傳、命令執行、邏輯漏洞等手法開始形成主流，「腳本黑客」終於揚眉吐氣了，可 XSS/CSRF 這類攻擊卻還登不上檯面，以至於好像是07還是08年的黑帽大會上，Nmap 的作者說：「XSS 是一門很娘的技術……」要是別人敢這樣說早被黑出翔，Nmap 可是玩網路攻擊的黑客們必備利器啊，其作者鼎鼎大名，說句話哪怕不那麼對，也不會有誰敢為難。

當然，這句話還是得罪了很多人，這些人是「腳本黑客」里的一個強勢分支，圈內都稱為「猥瑣流」，為什麼是猥瑣流呢？因為玩 XSS/CSRF 這類攻擊，是需要很深社工造詣的，技巧是極其猥瑣的，這是一種被動攻擊，做好陷阱，等著敵人上鉤，敵人死都不知道自己怎麼就死的，意識到自己死掉的那一刻他可能會大聲呼喊：「卧槽，打仗前不應該擊鼓三聲通知聲嗎？居然在我軍茅坑前做了個大陷阱……」

「猥瑣流」出現的時候，此時 Web 進入了 Web2.0 時期。

這個時期以 MySpace 這種社交網路的出現為代表，為大家熟知是大概04年，之後國內開始出現校內網（現人人網）、飯否（中國第一代微博）、百度空間（當時圈內很多牛人都在這上面開了博客，現在不行了），就連很多郵箱都開始出現更深的社交屬性……

社交屬性是 Web2.0 的典型特徵，裡面的內容貢獻由用戶驅動，這個就有別於傳統的 Web（內容由編輯單方面貢獻，用戶頂多評論評論）。

同時 Web2.0 的流行也得益於 Web 前端如 AJAX/DHTML 等技術模式的牛逼。

05年11月4號，凌晨，一個叫 Samy 的黑客放出了世界上第一隻 XSS 蠕蟲：

短短5小時後，感染了一百多萬個用戶，並在每個用戶的個人簽名檔中添加了一段文字「but most of all, samy is my hero」。該蠕蟲可以說是 XSS 蠕蟲的鼻祖。

和曾經基於系統/網路的衝擊波蠕蟲讓全球人們都震撼的那樣，Samy 扔出的這個蠕蟲，就像一枚核彈在 Web2.0 世界爆發了，MySpace 根本不知道這是什麼蠕蟲，它就像上帝一樣，突然就出現了，Web2.0 世界的人們毫無徵兆，驚魂失措時，MySpace 關閉了服務……

之後，Samy 意識到自己成為上帝它爸時，害怕得很，後來被抓了，前些年出來了……

這次事件，是第一次讓世界知道 XSS 的威力，之後無數次的高級入侵（APT）都用到了 XSS/CSRF 技術，Google 是全球最快組建一個全能安全團隊去重視 XSS/CSRF 漏洞的，因為 Google 這個安全團隊里就好些「猥瑣流」。

舉個場景

這樣看來，Web 攻擊在整個網路攻擊體系里的地位是非常之高的，從早期是被嘲笑到之後的高地位，這是一個發展過程，對於一個黑客來說不管他用什麼手法，能黑掉目標就是成功，這個過程和場景關係非常之大，我舉例個場景瞬間能明了：

場景：拿到目標 QQ 郵箱賬號許可權

大家看這個場景，QQ 郵箱算是國內最安全的了吧？

系統/網路黑客是這樣做的：直接遠程伺服器入侵，拿 0DAY 打進去（這 0DAY 黑市價格至少100w吧？），進去之後要面對的可能是很複雜的內網環境，又用掉幾個 0DAY/1DAY 後，總算進入用戶核心資料庫了，坑爹地發現資料庫的用戶密碼是高度加鹽的……拿到加鹽的密碼後，準備個 GPU 陣列開始破啊破……一個任務搞了1個月還不一定有結果，可能還會因此而弄丟幾個 0DAY，成本太高了！

輪到「腳本小子」出場了，SQL 注入、文件上傳、命令執行等各種大招都使出了，假設吧，假設勉強搞定了 Web 服務的許可權，之後面臨的是資料庫相關的數據能否拿到，假設可以吧，密碼拿到後發現也是高度加鹽的……繼續 GPU 陣列去吧……也許請上比特幣挖坑機集群都得不償失。

這時「猥瑣流」出場，一個 XSS 0DAY（黑色價格~=5000？）+一封偽造的社工郵件發過去，坐等目標用戶點開上鉤……

大家看這個場景，哪種黑客更厲害？其實沒什麼更厲害的黑客，只有更適合的招數，這個場景下一個 XSS 輕輕鬆鬆的事。

最後根據題主的問題描述，我說下：一次漂亮的滲透過程，是多種手法結合的，沒什麼手法是終極目標，只有搞定目標才是終極目標！

我是「猥瑣流」。

我覺得要看對方是什麼組織。

如果是一個公司的門戶類網站，那麼Web攻擊不容易造成非常大的事故，最嚴重的恐怕是用戶數據泄漏，目前在國內，數據泄漏沒有法律去要求公開，因此如果沒有黑客去散播消息，那麼這家公司不容易被外界知道問題，也不需要去負責。

如果是公司的工作平台，例如公司的網上辦公。這最多拿到內部也比較公開的文件，因為高度機密的東西不會進工作平台。這種情況下，有趣但是收穫不大。但是，web安全可能是一個不重要但是棘手的問題，因為公司的辦公平台很可能不容易迅速更新來抵禦攻擊，例如一些學校的教務系統不能聯繫廠商來修補已經發現的安全問題。

如果對方是一家公司機構，就要考慮對方的伺服器是自己架的，還是租用的。如果是自己架的，我覺得不好惹。一來，Web攻擊大多會有日誌，至少可以還原攻擊的一些情況。對於大的公司，他們會認真考慮報案的方法，因為如果不能發現這位堅定黑客，那麼這波攻擊估計不容易終止。如果是租用的，一般是小的公司，他們可能會使用安全寶等等的服務。不得不承認，這類安全服務效果非常好，也很有可能抓到攻擊的證據。

另外，對於很多網路架構來說，伺服器放在DMZ區。如果設計科學，那麼Web伺服器就算整台都淪陷（這幾乎是一個不可能事件），也很難對內網發動攻擊。舉個例子，黑掉門戶網站，距離黑掉公司內部員工電腦，還很遠。

如果是普通網站，例如個人網站、盈利論壇，那麼web攻擊是他們重視卻又無能為力的東西。為什麼重視呢？因為網站是絕大部分的資源，它要防守，也沒有其他的選擇。為什麼無能為力呢？因為他們一般不具有主機的完全控制權，信息安全領域強調的日誌審計、類似tripwire的檢測這樣的主動被動檢查很難實現，而備份服務等等也不可靠（虛擬主機的備份肯定不會異地備份、實時備份），所以他們主要的戰場是網站上的程序，和一些雲的保護服務。比如一些網站會使用安全寶、加速寶等等，他們對於抵禦一些攻擊都有一定的效果。但是這類網站會遇到一些問題，他們網站的程序如果是自己寫的，那麼可以預想會有大批量的安全問題，至少cross-site request forgery是肯定有的。如果是使用外面的程序，那麼他們容易遭遇至少zeroday攻擊。

我注意到的是，web安全成為一個獲取信息重要的途徑，美國的間諜可以通過這類漏洞獲得大量信息，往往涉及人們的隱私，但是不太可能入侵軍事研究所獲得機密資料，因為簡單的物理安全和管理措施就可以有效地減小web安全的影響。

大多數情況是切入點，但是並非終極目標。
如果止於web攻擊，那麼一般都是小黑（掛首頁炫耀）或wooyun刷分的。
如果止於web伺服器提權，可能為黑產專業戶（ddos、黑鏈）或wooyun刷分的。
再往深處，有廣闊的內網、db伺服器、社管理員都可能是終極目標。
對於安全研究人員來說，可能就要考慮目標了，比如是否被授權進行攻擊、個人是否有能力進行下一步滲透（對於BAT這種內網估計每個人都會頭疼）、攻擊的目的是什麼（最重要，到底是研究還是利益？）

攻擊是沒有絕對定位的。攻擊者的目的不同，web攻擊所處的地位就不同。如果我想要數據，那我web攻擊只是很隱蔽的進行，以你的web伺服器為跳板，入侵你的資料庫伺服器，dump你的庫。如果黑客的目的是讓你網站癱瘓，自然就會大張旗鼓的ddos你，此時的web攻擊才是主角，且沒有配角。如果有更大的野心，apt的話，web攻擊所處的地位又會隨攻擊方案而變化。

別人說的都對，這種東西沒有固定的，什麼時候用，該怎麼用，完全取決於它的性價比。
我以為成功率最高的apt手段就是策反。試想如果有人願意花幾百億策反我，我絕對願意出賣組織秘密，我不但願意背叛我的祖國，我甚至願意背叛我的初戀。只是這種攻擊方式成本確實有點高。那就考慮花個萬把塊做一下技術滲透吧。所以你看，不管是用什麼方法進行apt，它僅僅是一種性價比最高的方法，如果這種方法不能成功，會有一種性價比次之的方法被提上日程，直到你攻擊所消耗的成本大於了目標的價值，apt才宣告失敗。
所以答案已經開始明確了。
沒有網站的目標就不能滲透嗎？如果你說不能，那隻能說明你水平太差。
如果目標有網站，只是給攻擊者提供了更多可能，而web攻擊恰恰是所有黑客技術中門檻最低最易掌握的，所以不管高手還是菜鳥，在做apt之前都會習慣性的「日個站」。因為這有可能是個性價比最高的方法，比方說網站後台密碼正好是管理員的郵箱密碼，或者拿到的web伺服器跟域管理器有些密切的關係，如果有0day那麼定向掛馬絕對是爽翻天的。如果web攻擊行不通，那就考慮性價比次之途徑，例如3389的遠程0day，exp肯定價格不菲吧，估計是一個日站小王子幾個月的收入了，如果還不行，艹，你就考慮策反吧。
再舉個例子，已知目標開了80和3389，80上是個最新版的dede，你有20%的幾率通過代碼審計發現sql注射，而3389上會有20%幾率存在弱口令，你會先檢測哪個？雖然web攻擊一般是性價比最高的方式，但在此環境中就不是了。
所以你看到了，web攻擊所處的地位完全取決於性價比。

很多安全廠商為了推銷自己的產品，都過分誇大了web攻擊在apt中的地位，為什麼會這樣？因為這些廠商的水平可能真是不高，除了web安全的東西其它還真做不了。不要被忽悠了。

我覺得在當今網路環境下，更多屬於切入點。因為主要的數據和有價值的東西都在資料庫里，web並不含太多內容，而又因為web就像大門一樣大家都能看到，所以就自然而然的成為切入點。個人看法，歡迎交流。

來來來，說web攻擊低端的日個知乎來看看

Web攻擊顯然只是切入點之一，而在當前，切入點更火熱的將是移動APP攻擊

現代的攻擊和上世紀的攻擊不同，絕大多數不以破壞為目的，而是以獲取信息為目標。
web作為一個對外提供服務的入口，攻擊可以偽裝成正常請求進入到內部，應用層如果防護地好，還可以在網路層偽裝。如果不對外提供服務，web攻擊就沒有用武之地，如果網路層防護不到位，就用不上web攻擊

移動攻擊和web攻擊其實如出一轍，都是應用層的攻擊，但是由於web攻防我們都已經摸熟了，在不缺錢的環境中，防是比攻更加佔據主導地位的，幾年來也沒有失過手。可是隨著我們在移動領域的擴展市場，安全經驗卻無法完全借鑒，反而出過幾次事件。為這最後一句話匿了

如果被攻擊的智商低下，發個木馬過去也會直接點打開的，什麼流也會成功。如果被攻擊的本身就是安全人員，這種發個郵件就想搞定人家的事情基本不會發生，更不要提現在安金軟體是連帶web部份也防上了

贊同樓上幾位的觀點：WEB攻擊屬於敲門磚，其本身的價值含量相對沒有資料庫 shal l高但能成為黑客攻擊領域一道獨特的風景線也有其自身不可或缺的一些核心元素。

另外補充：
WEB攻擊屬於比較基礎的攻擊範疇，但這並不意味著基礎就是簡單。
WEB攻擊和Browser，殺軟的進化關係重大。

砸門，但是並不代表這東西低端。