現在大部分網站容易被入侵嗎?
最近各大互聯網公司爆出漏洞,不知道我的博客會不會被入侵。
前幾天朋友網站被黑客直接修改了主頁,想問一下現在網站真的就那麼容易被入侵嗎?如何做好防禦措施呢?怎麼樣才能夠讓我的網站更加安全?
另外知友們能提供一些知乎裡面網路安全方面比較牛的人嗎?方便請教一下。
謝邀!怒答不安全!
引子
這篇文章寫起來還是蠻難的,難在不容易把整個網站安全體系全部寫出來,或者文中應當添些真實案例讓大家感覺筆力飽滿,用墨充足。鑒於大量站長/網民普遍認為網站是「固若金湯」的安全,毫不擔心也不在意自身隱私安全等其他問題,讓我來試試科普是否能改變現狀觀念,哪怕只是一小撮人群呢?篇幅過長,另有文中有部分技術細節,大家可簡單略過。好在昨天 @李奇 和我說知乎回答字數10W限制?開始還擔心字數太多,這樣我就可以放心去寫了。
你的網站真的堅不可摧?
目前的網站可分為三大塊:個人運營、團隊/公司運營、政府運營。
個人網站比例還是很大的,這種網站多數採用開源系統,如博客類:Wordpress、Emlog、Typecho、Z-blog、More...,社區類:Discuz、PHPwind、StartBBS、Mybb等等。
團隊/公司網站使用常用的開源CMS比例也是非常大,政府類網站基本上外包開發較多。
當然互聯網公司自家產品應用必然都是公司自主開發:淘寶?知乎?豆瓣?太多了。
更泛一點的說,分為兩大塊:開源與閉源。
能夠有效說明網站偽安全的就是從實戰出發的角度去證明到底是不是真的固若金湯。
這裡之所以講到入侵方法不是為了教大家如何入侵網站,而是了解入侵的方法多種多樣,知己知彼才能百戰不殆。菜刀能夠用來切菜,同樣也能夠用來殺人。
黑客們入侵網站普遍的手法/流程:
1、信息收集
1.1/ Whois信息--註冊人、電話、郵箱、DNS、地址
1.2/ Googlehack--敏感目錄、敏感文件、更多信息收集
1.3/ 伺服器IP--Nmap掃描、埠對應的服務、C段
1.4/ 旁註--Bing查詢、腳本工具
1.5/ 如果遇到CDN--Cloudflare(繞過)、從子域入手(mail,postfix)、DNS傳送域漏洞
1.6/ 伺服器、組件(指紋)--操作系統、web server(apache,nginx,iis)、腳本語言
1.7/ More...
通過信息收集階段,攻擊者基本上已經能夠獲取到網站的絕大部分信息,當然信息收集作為網站入侵的第一步,決定著後續入侵的成功。
2、漏洞挖掘
2.1/ 探測Web應用指紋--Discuz、PHPwind、Dedecms、Ecshop...
2.2/ XSS、CSRF、XSIO、SQLinjection、許可權繞過、任意文件讀取、文件包含...
2.3/ 上傳漏洞--截斷、修改、解析漏洞
2.4/ 有無驗證碼--進行暴力破解
2.5/ More...
經過漫長的一天,攻擊者手裡已經掌握了你網站的大量信息以及不大不小的漏洞若干,下一步他們便會開始利用這些漏洞獲取網站許可權。
3、漏洞利用
3.1/ 思考目的性--達到什麼樣的效果
3.2/ 隱藏,破壞性--根據探測到的應用指紋尋找對應的EXP攻擊載荷或者自己編寫
3.3/ 開始漏洞攻擊,獲取相應許可權,根據場景不同變化思路拿到webshell
4、許可權提升
4.1/ 根據伺服器類型選擇不同的攻擊載荷進行許可權提升
4.2/ 無法進行許可權提升,結合獲取的資料開始密碼猜解,回溯信息收集
5、植入後門
5.1/ 隱蔽性
5.2/ 定期查看並更新,保持周期性
6、日誌清理
6.1/ 偽裝性,隱蔽性,避免激警他們通常選擇刪除指定日誌
6.2/ 根據時間段,find相應日誌文件太多太多。。。
說了那麼多,這些步驟不知道你看懂了多少?其實大部分的腳本小黑顯然不用這些繁瑣的步驟,他們只喜歡快感!通常他們會使用各種漏洞利用工具或者弱口令(admin,admin888)進行攻擊,入侵無果就會選擇睡覺、打飛機或者去做一些其他的事情。當然,這種「黑客」僅僅是出於「快感」而去想入侵你的網站,如果是別有它意的人,麻煩就來了。
對了,上面這些步驟是剛翻到12年我整理的一個freemind思維導圖的部分內容:
(點擊查看大圖)
優秀的白帽子/黑帽子會根據目標網站進行黑盒/白盒測試進行漏洞挖掘,白盒可稱為代碼審計,而黑盒則是在接觸不到代碼的情況下進行的模糊測試。通過上面這些步驟,目前國內的一些網站可謂是難逃一劫,當然具體場景遇到的不同情況要變化不同的攻擊思路。看到了那麼多,仔細想一下,我們的網站到底安全嗎?當然,還有一種攻擊概念:APT(以後有機會再寫吧!一言難盡!)
第一個小故事
之所以能有興趣寫下這麼大篇幅內容源於上周末,有幸認識了一位小哥,搞開發的。當時他問我:「Evi1m0,你說的博客安全不安全,能幫我測試一下嗎?」
我們相識在源頭是因為我們兩人博客使用的同一套系統--Typecho。剛下載好這套系統的時候我便簡單的進行了一次白盒審計,剛好撿到兩個0day(未公布的漏洞)。所以我對他「意味深長」的說:黑你博客,分分鐘。 當然只是逗逗他,最後我告訴他了這麼自信的原因。
過了會兒,他便找我測試他最近寫的一套博客系統,程序也還算簡單,一頓黑盒測試後只發現了1個SQLinjection,有趣的是我發現他資料庫竟然使用的ROOT許可權!?結果很簡單的拿到了網站許可權,解開HASH之後我獲取到了他常用的密碼,然後我做了什麼?
- 查詢網站裡面所有關於config的相關隱私信息
- 獲取伺服器(Linux)的ROOT許可權
- 密碼猜解,登陸他主博客的後台
去年5月份的時候我寫過一篇文章《剖析隱私安全的奧秘》,文中便提到過個人使用不同的密碼其實不會超過3-5種,閱讀這篇全文請移步到:Worm.cc
於是很簡單的,我便完成了這次「入侵」,事後他感嘆自己的安全意識竟如此薄弱,網站竟然如此不堪一擊。
另外一個小故事
很久之前「L」發郵件要我協助他搞某酒店,那時還沒有2000W酒店資料庫泄露事件這回事,信息收集前戲他自己就已經單幹了兩個月,這些我後來才知道,不得不佩服他的耐心。
擁有了這些信息後我便開始和他配合偽造成對方公司職員接觸一些公司員工以便更快的獲取有價值的東西,當然這種方法大家也許都應該知道--社會工程學。
記憶尤深的是最後防線OA系統遲遲無法突破,讓我吃驚的是他竟在公司接待廳里搭起WIFI開始釣魚,一晃就是兩天,最終他成功拿下了客服經理的OA賬號密碼。就在這整整半年期間,他和這公司某妹子拍拖成功,雖然後來分手了:)
從一個弱口令開始,到分站淪陷再到密碼猜解到主站淪陷,全部伺服器開始成為肉雞。許可權在他手上一直持有了2年多,13年底的時候「L」與我Mail稱:「They are the idiot!?後門竟然還沒清理」,同時留下了一張圖:
為什麼他非要弄到全部的伺服器許可權,其實並不是因為什麼開房資料庫,只是因為他和我有過一場小小的賭注。
仔細想想我們的安全意識究竟夠不夠高?不要總是說:「我的網站很安全!我用的是Discuz!我用的是最貴的服務!沒人能黑!」,借用我之前文中的一句話:「你只是目前還沒有價值被黑!」。
就算程序上沒有漏洞安全問題,人性的弱點仍然是一個值得深思的點,很多經典案例都來自於人性的弱點,不了解的可以查看百度百科(社會工程學),雖然我一直揚言稱拿科普來改變大家的安全觀,可是你們不入戲啊,自己高潮可真無趣。
哦,對了,這些故事都是我竭盡腦汁編出來的。
-------
被黑網站背後的故事
我所被黑的故事
我曾經也是這種想法,網站怎麼可能會被黑呢?Linux許可權做的那麼死,除非網站系統出現漏洞,不然誰能入侵它!?
當時我所創立的邪紅色信息安全團隊還算火熱,有不少黑/白帽子想塗鴉主頁(入侵篡改),記得是一個悠閑的下午,剛從咖啡廳出來接到團隊成員打過來的電話稱團隊網站被黑了!
Oh shit!真有趣,被黑的切入點竟然來源於伺服器上朋友臨時搭建的測試站點,他測試程序的時候忘記最後刪除掉了,出於懶惰後台密碼就使用了最令人頭疼的弱口令--admin,admin
真巧,這都能讓那位黑客發現!顯然他是有惡意的,對當時論壇進行了脫褲(資料庫下載),後來朋友對這事兒仍然耿耿於懷。常在河邊走,哪能不濕鞋?
朋友被黑的故事
和我同在知道創宇公司 @餘弦 的博客在12年底的時候也被黑過,不必太驚訝。
下面內容來自他當時的文章:
2012年11月21,早7點,我發現我的博客被黑了,如封面這張圖,說:「i"m sure your site have no xss by the venus hacker」,這英語很有chinese范,我當然不相信誰會用XSS來攻擊我用WordPress搭建的博客系統,這年頭WordPress的高質量XSS不容易得到,我很快就想到了我是怎麼被黑的了,洗漱完後,打開電腦開始排查:
- 黑頁里的特殊指紋,利於我追蹤;
- 網站請求日誌;
- 我的網站源碼里是否有後門;
調查黑頁不僅僅是為了拿到裡面的特殊指紋,還有想看看是否有植入網馬(如果有這個,那這個黑客太狠了,我非得把這個人挖出來並曝光),或者更邪惡的XSS攻擊(這個我估計很多很多人都想不到,如果有這個,我會很尊敬這個黑客),我如此謹慎是因為如果是我要做些邪惡的事,我會這樣做。
結果這個黑頁很普通。於是開始查看網站請求日誌(如果是我猜測的攻擊手法,日誌里不應該有什麼明顯特徵),果然日誌里沒什麼奇怪的,基本肯定了我的猜測了。
但是我還是不放心,既然是我猜測的攻擊手法,那這個黑客如果不是僅僅「just a joke」,那肯定還會留下後門,WordPress那麼多文件,我如何最快的速度確定是否有後門呢?
我用Python腳本改寫了兩個程序(幸好之前我有積累),一個腳本分析全球常見後門(Webshell)特徵(允許誤報),一個腳本對比我之前備份過的文件Hash(擔心被篡改植入一句話後門)。
半小時後,完成了這些檢查(如下圖),看來這個黑客僅僅是想開個小玩笑而已。
那這個我已經猜測到的攻擊手法是什麼呢?很簡單,我博客所在的主機許可權配置很脆弱,只要這個主機上任意網站被黑,都可能威脅到我的博客,這個主機被黑客拿下了,然後看到我的博客居然在裡面,順手來了個玩笑。
---------END--------
你覺得你的網站很安全?無懈可擊?或許有人會反駁:這些只是小網站!?
如何黑掉知乎?
這個話題是13年8月份知乎圓桌的活動引起的,上圖來源烏雲白帽豬豬俠。當時我註冊知乎還沒怎麼開始玩,覺得很有意思,在我展開「行動」之前已經有了幾個不錯的回答:如何黑掉知乎?
看到回答之後雞血指數直線上升,於是我也挖了一個存儲型XSS跨站漏洞,彈了幾個框。知乎正如 @李普君 所說體驗真是出奇的好!登陸某管理員知乎賬號後便能發現首頁大大的[管理]二字,我如今已對許可權的慾望已經逐漸萎縮,便沒能好好珍惜住許可權。
事後 @李申申 還送了我小禮物表示感謝,知乎對待安全的態度是蠻不錯的。
說了那麼多,最重要的來了!如何加固網站安全以及提高安全意識?
加固網站安全提高安全意識
一開始便提到了網站大致可分為幾大塊以及使用開源/閉源程序,如何加固?
網站程序的採用:
- 盡量採用大廠商提供的程序
- 關注一些安全廠商以及官方微博,第一時間獲取是否出現新漏洞
- 市面上開源所能提供的已經很廣泛了,沒有特殊需要無所謂非要自己重新寫套程序
伺服器許可權的配置:
- 關閉不需要的服務以及埠
- 定期的更新系統補丁
- 使用安全防禦軟體,例如安全狗、啊D等
- 文件列目錄等許可權最小化,盡量消減Guest許可權
- 網站資料庫不再使用ROOT許可權,分配相應用戶管理
Other:
- 使用WAF服務,例如加速樂、安全寶等
- 弱口令是大忌!
- 謹記許可權最小化!
- More...
關於安全意識:
- 不是沒人能黑你,只是你沒有價值被黑
- 不要等到出事後才想起來事前沒做防護措施
- 密碼定時更換,能少泄露自己的隱私就少泄露
- 多關注一些有關安全方面的人才,當然這需要你來篩分人才與「人才」
- 安全意識要潛意識的存在你的腦子裡,別來個中獎就把安全意識扔到腦外
- 手機能夠使用正版APP就使用,能夠不越獄不ROOT就別做這些操作
- 涉及到敏感隱私以及賬戶安全的時候謹慎操作
- More...
我想說:「世界是不安全的,無論在哪,這是一個傻子太多騙子用不過來的時代。」
寫到現在我才發現已經差不多五千多字了,陳述一下我的觀點:
- 網站沒有永遠的安全
- 能否入侵成功取決於你的價值有多少
- 安全意識存在潛意識,網站許可權最小化
關於你想要的人員推薦:知乎上有哪些網路安全大牛?
最後,送給大家:「只要有時間,漏洞分分鐘。」
---------
微信公眾號:Evil-say
二維碼:
http://weixin.qq.com/r/bEzr8_TEmbnmraCQ9xl_ (二維碼自動識別)
大部分容易!我給幾組數據。
比如中國CMS中,最最流行的是DedeCMS,看這幾年DedeCMS都出現過多少嚴重的漏洞:
DedeCMS_漏洞搜索,截個圖如下:
想知道影響面?ZoomEye一下即可知道:
http://www.zoomeye.org/search?q=DedeCMS,截圖如下:
60多萬的網站使用了DedeCMS!大多分布在中國與美國(很多VPS在美國)。
你們能知道DedeCMS漏洞百出嗎?你們能知道官方不負責嗎??你們能知道有多少網站早已淪陷了嗎??99%的人根本不關心這個,攻擊者爽了,養活了一個龐大的底下產業鏈,基於這些被黑的網站作為跳板去黑網民!!比如QQ里傳播的欺詐網址,如下是被攔截的情況:
但是,這麼多被黑的DedeCMS網站,QQ不可能都攔截,否則有可能誤殺好網站,這導致了黑產利用這個缺陷傳播那些不會被QQ攔截的欺詐網址,黑產哪來那麼多網址??不都是這樣黑下來的嗎?
我們經常聯合QQ打擊這些,根本打不完!
還有按照我們團隊(知道創宇安全研究團隊)的歷史應急響應情況來看,平均每天應急一個影響面還算小的高危漏洞(比如幾千、幾萬個網站可能會被黑),平均每季度會出現一個影響全球的高危漏洞(數十萬、百萬網站可能都會遭殃的)。
(註:想看我們團隊每天是怎麼工作的可以看我的這個回答:網路安全研究員的或者網路安全工程師工作內容具體是什麼?)
弄了這麼多年,我們都麻木了快!!
不客氣的說ZoomEye這個頁面(http://www.zoomeye.org/components/)所列的組件,都可以被不同程度的黑,ZoomEye沒列進去的也可以被黑,安全圈的同學都明白一個道理:安全是動態的。即,現在可能沒漏洞,未來指不定何時就有,現在沒黑你,可能是你不知道或者你沒被黑的價值。
我並非在散播「威脅論」,就好比你不知道地球每秒會被謀殺掉N多人,每秒會因為車禍死亡NN多人,在我們的ZoomEye系統上,我們可以一目了然地知道一個漏洞能影響全球多少網站,宏觀的數字擺在我們面前的時候,我們才知道原來黑客的能量可以這樣大,隨著我們的深入發現龐大的底下產業鏈可以如此之大,這是互聯網不為人知的一個龐大經濟鏈。
如果你的博客是全球最知名的WordPress,那安全性相比之下是高了非常多,被黑的可能性會小很多,不過「你沒被黑,可能是你還沒被黑的價值」,WordPress現在一個漏洞價值是非常高的,如果你不是什麼重要目標,沒人黑你。
這不表示黑你的網站一定要通過WordPress本身。
(補充下:我的博客http://evilcos.me用的就是WordPress,曾經被黑過程可以看 @Evi1m0 答案里有八卦:http://www.zhihu.com/question/22802099/answer/22702931,他昨天給我說會寫我,我就知道是寫這件事,哈哈。)
雖然WordPress本身安全性不錯,但是它上面的插件就不這樣了,你看下面鏈接,每月都會有好多WordPress插件的漏洞公布:
Search ? Exploits Database by Offensive Security
還有,黑你網站的方式有很多,我來科普下,網站被黑的方式,我截出我以前的PPT內容。看完後,你將清晰很多很多……
怎樣?Web漏洞這塊我就不展開了,這將嚴重影響我的心情。
防禦?太多內容啦,我就不費口舌了,得給我交學費。最後不介意我推薦我們公司的產品吧?http://www.jiasule.com,還可以防黑客、抗DDoS。這產品這麼好?還免費?對,個人網站用我們這個免費足矣,不過你想不被黑我們沒法保證,只是我們降低了你網站被黑的可能性。
最後以上我引用的素材大多來自我們的各類產品。歡迎圍觀。題主可以把網站列出來,針對你想了解的方面給你說,意淫日站這種事情,一直最喜歡做了
講幾個故事故事。請勿轉載。
銀行的故事:
前年在廣州工作,某銀行需要對網銀做安全評估(銀監局要求商業銀行每兩年必須做一次網銀評估,後來好像改成一年)。
先簽免責協議。當晚和負責網頁滲透的發哥開始幹活,我主要負責在該銀行開戶,包括申請u盾。
發哥嶺南人士,從良前在黑客論壇以接黑活為生。因為客戶給的測試時間有限,只有一晚,並要求第二天出具滲透報告。於是半夜加班。
一共耗時兩小時,滲透的主要成果有:
1,通過我的該行賬戶,可以查詢到其他人的銀行賬戶,賬戶所有人姓名,賬戶餘額。【屬銀監局定義的高危漏洞】
2,通過我的賬戶,可以通過「遍歷」的手段查詢到該行任意一天的流水額。如果肯耗精力,可以寫一個腳本,只需輕輕一點。。。【高危漏洞】
3,在網頁上修改了我賬戶的積分。我的卡上只有十塊,原則上沒有積分,發哥給我改成了一百萬,當然,這些積分不能兌換禮品。【低危】
4,如果使用「中間人攻擊」手段,原則上可以獲取其他人銀行U盾隨機生成的密碼。【印象里這個也是低危】
這個銀行信息中心共有將近100人負責銀行的IT業務,沒有專門的信息安全部門。後來銀行使用了國字型大小評估。而該國字型大小評估單位的技術實力跟商業公司沒法比。
二
投資公司的故事
某小型投資公司,主要做的是籌集民間資本進行投資,用戶只需要聯繫公司並把錢打到主頁的銀行賬戶。
某天,這個銀行賬戶被篡改。一個用戶不知道還打了款。該公司隨後才知道主頁被改
三
廣州本地某大型集團公司,要求我們給做一次滲透。
發哥又出馬了。從主頁滲透進去,逐級向上拿許可權,據說最高拿到一把手的許可權。於是從下向上發起一個7個億的項目,逐級用許可權審批。
最後客戶一看這個項目審批鏈,再問一下相關人員,嚇尿,於是趕緊簽合同。是,從目前的趨勢來看,防禦手段的發展速度是滯後於攻擊思路的,而且也不存在絕對的安全
可以通過直觀的數據來展現
這裡用VulnDB2017年公布的數據為例,2016年間VulnDB共報告了15000個漏洞,刷新了記錄
漏洞評級
漏洞類型,最多的是XSS
而一個漏洞可能直接/間接影響到若干數量級的網站。
Google在博客中稱:「與2015年相比,我們發現在2016年被入侵的網站數量增加了大約32%。我們預計這種趨勢不會放緩。隨著黑客的積極性變得越來越高及越來越多的網站沒有及時更新,黑客將繼續通過攻擊更多的網站來獲利。」
First off, some unfortunate news. We』ve seen an increase in the number of hacked sites by approximately 32% in 2016 compared to 2015. We don』t expect this trend to slow down. As hackers get more aggressive and more sites become outdated, hackers will continue to capitalize by infecting more sites.
https://webmasters.googleblog.com/2017/03/nohacked-year-in-review.html
根據國家互聯網應急中心發布的2016中國互聯網網路安全報告:
(報告地址:國家互聯網應急中心)
是滴,比你想像的「容易」,對知道的人而言。
- 絕大多數公司沒有安全戰略,不投入,都是出了問題才重視幾個禮拜,個人網站就不用說了,根本沒有安全意識,很多站長可能連php升個級都嫌麻煩
- 更不用說很多自己開發的網站,野生程序員多,寫SQL不知道prepare statements,輸出HTML不知道要反XSS的兄弟一抓一大把
- 攻擊已經高度自動化,龐大的肉雞網咯,每天可以自動攻擊幾十萬站點,不像以前攻擊一個網站還要黑客自己熬夜
- 反正人是一種惰性動物,不出事以為沒事,出了事才哭爹喊娘的,但也不吸取教訓
大站一定要有安全戰略,安全投入,不能有自己的安全團隊,也最好買點安全評審服務。
不安全,昨晚百度貼吧剛出一個XSS蠕蟲(百度貼吧第四次大規模XSS注入了)。一晚上中招的起碼擴散了十幾萬人。很簡單的漏洞,一個小小的字元過濾不嚴。導致其他人瀏覽貼吧時會被執行遠程的JS代碼。一晚上毀了N多貼吧。據我所知百度在貼吧起碼還有2個注入點,可惜呢,我都報到烏雲了,百度無視我,那我也沒辦法。。I貼吧html注入上報1年後漏洞才修復,查IP點,就不說了。。這都是第幾次了?支付寶這種更無奈,他對待安全人員是什麼態度。一個可以繞過二級密保的漏洞,上報後,先偷偷修復,然後給和我說,查無此問題。。。哎,你不就是心疼你那點獎金嗎?我不告訴你自己去用,隨便撈下就是上萬的收入。。。哎。寒心。【專註百度漏洞30年】
如果裸奔的話肯定不安全嘍,如果有裝安全狗、雲鎖之類的伺服器防護軟體,那就會相對安全點,但是沒有絕對的安全。目前伺服器、網站所處的環境是極為不安全。
舉個栗子,現在伺服器、網站所在的環境就好比是一個夜晚,而伺服器、網站就好像一個極為美麗的女子,如果大晚上一個妹子裸奔夜行是不是很不安全?裝了防護軟體後就好似穿著嚴謹的的妹子再夜路疾行,雖然也不能絕對的安全,但絕對會比裸奔來得更安全吧?
伺服器、網站安全需要大家繼續努力下去,只有當黑夜變為白天,所有人都衣衫楚楚,相信那時將會很安全
不怕賊偷就怕賊惦記
我覺得我們應該換個問題
《現在大部分人妻容易被凌辱嗎》
你真的關心了你的媳婦了嗎?
為什麼是 她出軌了,
而不是 我做的不夠好。
在末尾我意淫一段,
高富帥—如何對人妻實施本番—且不被原配捉姦—並得到了原配的感謝
我不是大牛,只是個人看法,並非絕對言論,各位當微小說看看就行了。
基本安全
1,弱口令,弱目錄等。
改弱目錄撐死改幾個調用文件里的幾個路徑吧。
全世界網站賬號都是admin,有意思嗎,去資料庫里改一下可以嗎。
2,注入,繞過等
大部分都用的cms吧,一出0day,exp集體悲劇…自己關注些,沒事搜搜「xxxcms 1.1」+漏洞 0day什麼的關鍵詞
個人人為做到上面兩點,再加上開發程序跟進社會腳步(我敢說現在"or"還是存在某些古老的廢棄站點),一般不會出現問題的,這樣解決了那些小黑客們的攻擊,同時你的旁站也是安全的了…
大黑闊們就膩害了!當然,技術到手,思路才是重要的,在我的腦海里一直存在著「hacking是一種思路」。
偽郵件發件人,偽電話號碼,偽簡訊發件人都是存在的,我只是小有了解,我真的不會阿
這麼些偽,還怕社工不到一個管理員嗎,思路重點是思路,發郵件提示某種錯誤,同時發簡訊提醒查看郵件,進入釣魚頁面了吧,頁面真偽更需要證書甚至直接上os級的漏洞執行木馬,到這裡,還沒完,滲透web能提權就提權,然後再打個電話告訴他,親,機房資料庫損壞,正在修復,網站可能暫時無法訪問等,用跟你前任分手時編借口的能力忽悠他,接著登錄社到的idc user,再他伺服器修改密碼,關掉web環境,然後做你愛做的,一炮激情過後,再恢復正常,清理掉落在地上的吊毛後,打電話給他,說機房恢復好了,帶來的不便請諒解,此時站長無比開心的打開了剛剛無法訪問的站點,並且同情機房管理員的辛苦,感謝機房管理員挽救了自己的數據。
完全沒有什麼真正的技術可言,對於大黑闊們,同樣的技術可能在他指尖就可以無限放大。
我還是想強調一句話,hacking是一種思路。
(攻擊你網站所獲得的利益 &> 攻擊你網站的成本) = 很容易被入侵
信息安全與滲透測試 QQ群:606541827
別的國家的不知道,至少中國的百分之九十九點九以上是不安全的。
這個就像是問是不是大部分的門鎖都很容易被撬一樣,答案絕對是肯定的。
但是會不會被撬,關乎被撬的價值和運氣成分。
不管互聯網發展到什麼階段,人們的水平如何高,大部分人都會悠哉悠哉的前後門大開的生活著,也總會有倒霉蛋被人搞。
在貓捉耗子這場遊戲里,如果你在現實中撬了別人家的門,至少會留下些許物理痕迹或被攝像頭捕獲,而在網上,只要不是很菜的黑客,都知道消弭入侵痕迹是個好習慣。所以經常是管理員一直覺得自己從未被入侵過,而實際上那些伺服器已經跟公共汽車一樣,被人輪了多少遍了。
喜歡在留下東西炫耀的黑客大部分不是初級的就是故意侮辱對方,玩鬧的目的更大一些。
對於商業機構,則永遠是最有價值的目標,不管現實中還是互聯網,它們都是大蛋糕,只是沒多少人會為了防範入侵而投入巨大的成本,往往都是被入侵後亡羊補牢。目前互聯網33%的網站己被入侵併且種植後門。
SEO劫持成為黑客入侵網站的主要目的。
認為我說得不夠,那我補充一下,為什麼我說33%被入侵。
我分析了不下數千個被黑的網站,目的來看被入侵的原因主要是以下:
1. 弱口令 (SSH 3389 MYSQL FTP SQLSERVER 管理後台 etc...)
目前互聯網上每天都有幾W台暴力破解的機器人,被暴力破解入侵的網站是最多的。因為真的很多很多的小白不太注意這方面。
2. 各種CMS,程序的的各種getshell漏洞(dedecms? phpcms? phpmyadmin? 。。。)
這種程序的漏洞己經完成工具化自動化,漏洞剛出來,各種有漏洞的應用都會被自動化掃描機器人輪一遍。
3.框架漏洞/Cgi漏洞/webserver漏洞
前段時間的phpcgi漏洞,jboss漏洞,nginx漏洞,struts漏洞 ,webdav 等等,這些也是自動化一條龍產業鏈,一直在被輪,從來沒斷過。
4.小白自己下的程序中就有後門啊,有沒有
我不只一次看見一些莫名被黑的情況,原因就是小白們在各種網站下的程序中己經默認種上了後門,然後各種不知道什麼原因被掛暗鏈。
5.大神們的0day
永遠頂不住的就是大神們手上的0day,分分鐘被秒了還沒摸清楚情況。
6.苦力黑客
這些苦力們社工,注入,找上傳點,純手工打造啊,架不住人多。
當然還有更多我就不一一例舉了,不是越高深的漏洞就危害越大,我只想說要想不被黑,先把最簡單的安全問題解決好:
密碼管好
網站最好裝個安全狗,帶WAF的那種,別用什麼雲WAF,我不是給他打廣告。
登錄埠做上源IP限制。
別亂下東西,請認準官網。
別對推送的安全補丁不在意,該打就打。
如果你真不不知道你有沒有被黑,最簡單的方法,去google site一下你的網站,看有沒有出現不是你網站的內容。
當然有專業安全人員的企業請忽視我上面寫的東西。小站沒有什麼利益的話,是沒有人來攻擊你的,特別是DDoS攻擊,你完全可以放心,不過以下攻擊類型你就需要小心防範了:
1、CC攻擊。比較XXS跨站攻擊、SQL注入;
2、網站被篡改,放上灰色網站等;
其實以上2種問題都可以使用防禦服務來解決你的問題,推薦:
1、知道創宇抗D保。可以防禦CC、DDoS攻擊。另外,針對DNS發起的攻擊也是可以防禦的;
2、使用創宇盾來防止以下8種問題:
網站被黑客植入惡意內容、後門刪除之後又自動恢復。
使用某些瀏覽器訪問網站看到的是黑客放置的惡意內容。
網站大量子域名訪問後顯示非法內容。
在網頁代碼中發現大量被黑客植入的違法網站鏈接。
網站被黑客植入惡意網址恢複目錄。
通過指定網站(如搜索頁面)點擊進入網站後顯示的是黑客放置的惡意內容。
某些地區用戶訪問網站時看到的是黑客放置的惡意內容。
網站被植入惡意代碼導致網站搜索引擎收錄出現非法內容。
以上是我們常見的8種Web攻擊類型,其實解決起來都很簡單,希望可以幫助到你。
少部分op不修改後台登錄帳號和密碼的……
直接用默認的帳號密碼就能登錄…比如我們學校的官網的後台……
閉眼玩家防護只能依賴值得信任的廠商,如知道創宇、阿里雲、安全狗、D盾等。
睜眼玩家,自己做好許可權剝離。過濾過濾過濾。。
安全狗等知名WAF 基本能讓很多注入失效也能防住很多中低端黑客。
如果小站,大牛也沒興趣吧。
所以這些WAF可以試試的。
百度找下中國黑客標榜試試
@石樂天
推薦閱讀: