監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關(guān)閉

設(shè)備管理系統(tǒng)維護經(jīng)驗:如何預(yù)防黑客攻擊WEB

申請免費試用、咨詢電話:400-8352-114

下面我們?yōu)榇蠹曳纸夂诳腿肭终叩臐B透WEB網(wǎng)站的主流手段。

假設(shè)目標站點http://192.168.40.21/是一個大型綜合類網(wǎng)站,會員數(shù)目眾多。

 

1.鎖定目標、搜集信息

 

黑客入侵一個目標站點的時候,首先要看該站點是否存在利益價值。目前黑客入侵者的商業(yè)攻擊主要針對在線購物網(wǎng)站、社交網(wǎng)站、網(wǎng)絡(luò)游戲、大型論壇、慈善機構(gòu)、電子政務(wù)、金融證券網(wǎng)站等網(wǎng)站。這些網(wǎng)站可以竊取會員用戶信息進行社工欺騙,比如利用獲取的身份信息對用戶親屬進行電話詐騙、利用大部分人習(xí)慣用同一個帳號密碼的習(xí)慣去嘗試登錄其他網(wǎng)站,并且這些會員信息可以多次出售專賣;黑客入侵者還可以通過入侵政府網(wǎng)站掛“黑鏈”,因為政府網(wǎng)站在搜索引擎中占據(jù)的權(quán)重較高,攻擊者可以通過此方法使自己指定的網(wǎng)站插入到政府網(wǎng)站頁面中,從而提供其在搜索引擎中的排名靠前并盈利。

黑鏈是SEO手法中相當(dāng)普遍的一種手段,籠統(tǒng)地說,它就是指一些人用非正常的手段獲取的其它網(wǎng)站的反向鏈接,最常見的黑鏈就是通過各種網(wǎng)站程序漏洞獲取搜索引擎權(quán)重或者PR較高的網(wǎng)站的WEBSHELL,進而在被黑網(wǎng)站上鏈接自己的網(wǎng)站,其性質(zhì)與明鏈一致,都是屬于為高效率提升排名,而使用的作弊手法。

在確定目標后,黑客入侵者就會搜集該目標站點的相關(guān)信息,一次入侵的成功與前期的信息收集關(guān)系很大。搜集信息可以讓入侵起到事半功倍的效果,只經(jīng)過一些簡單的操作就可以得到一些服務(wù)器的Webshell,甚至于系統(tǒng)管理權(quán)限,搜集信息一般分為三種:

①工具掃描:黑客入侵者會使用各種掃描工具對入侵目標進行大規(guī)模掃描,得到系統(tǒng)信息和運行的服務(wù)信息,如對方所使用的操作系統(tǒng)、開放了哪些端口、存在哪些漏洞。典型的掃描工具有:

 

 

Nmap掃描目標網(wǎng)站端口開放信息

②社會工程攻擊:利用各種查詢手段得到與被入侵目標相關(guān)的一些信息,通常通過這種方式得到的信息,會被社會工程學(xué)這種入侵手法用到,而且社會工程學(xué)入侵手法也是最難察覺和防范的。

社會工程學(xué)(Social Engineering):通常是利用大眾的疏于防范的詭計,讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式,從合法用戶中套取敏感的信息,例如:用戶名單、用戶密碼及網(wǎng)絡(luò)結(jié)構(gòu),即使很警惕很小心的人,一樣也有可能被高明的社會工程學(xué)手段損害利益,可以說是防不勝防。網(wǎng)絡(luò)安全是一個整體,對于某個目標在久攻不下的情況下,黑客會把矛頭指向目標的系統(tǒng)管理員,因為人在這個整體中往往是最不安全的因素,黑客通過搜索引擎對系統(tǒng)管理員的一些個人信息進行搜索,比如電子郵件地址、MSN、QQ等關(guān)鍵詞,分析出這些系統(tǒng)管理員的個人愛好,常去的網(wǎng)站、論壇,甚至個人的真實信息。然后利用掌握的信息與系統(tǒng)管理員拉關(guān)系套近乎,騙取對方的信任,使其一步步落入黑客設(shè)計好的圈套,最終造成系統(tǒng)被入侵。這也就是我們常說的“沒有絕對的安全,只有相對的安全,只有時刻保持警惕,才能換來網(wǎng)絡(luò)的安寧”。

③公開域信息:主要通過Google Hacking和Whios等手段獲取信息。

Google Hacking:指利用Google Google搜索引擎搜索信息來進行入侵的技術(shù)和行為,不少入侵者利用Google強大的搜索功能來搜索某些關(guān)鍵詞,找到有系統(tǒng)漏洞和Web漏洞的服務(wù)器,打造成自己的肉雞。

敏感的信息包括:

目標站點的信息

已丟失信息的追回

存儲密碼的文件

后臺管理和上傳文件的 Web 頁

數(shù)據(jù)庫

特定擴展名的文件

特定的Web程序,如論壇

Whios:Whois協(xié)議,是一種信息服務(wù),通過向服務(wù)器的TCP端口43建立一個連接后,對輸入的關(guān)鍵詞進行查詢,能夠提供有關(guān)所有DNS域和負責(zé)各個域的系統(tǒng)管理員數(shù)據(jù),其中記錄著每個互連網(wǎng)站點的詳細信息,其中包括域名、服務(wù)器地址、聯(lián)絡(luò)人、電話號碼和地址。我們可以以Web方式查詢,比如到http://whois.www.net.cn/或者http://whois.webhosting.info查詢,假設(shè)我們要查詢www.baidu.com的域名信息,我們到http://whois.www.net.cn/查詢的結(jié)果如圖:

 

通過上面的介紹我們對黑客攻擊前的踩點和信息搜集有了認識,目前我們已經(jīng)得知目標站點http://192.168.40.21/主要開放了HTTP 80端口,遠程登錄RDP 3389端口;服務(wù)器采用的WINDOWS系統(tǒng),中間件使用的Apache Tomcat,網(wǎng)站腳本語言用的JSP。

 

2、深入攻擊階段

利用SQL注入“拖庫”

在深入攻擊的過程中,首先攻擊者需要找到一個動態(tài)鏈接的URL看是否存在SQL注入漏洞,例如現(xiàn)在找到一個http://192.168.40.21/news.jsp?id=127,通過簡單的注入嘗試語句發(fā)現(xiàn)該URL確實存在SQL注入漏洞,攻擊者一般為了節(jié)省時間都會使用工具來促進效率。

 

通過工具攻擊者獲取到了服務(wù)器的環(huán)境變量,數(shù)據(jù)庫結(jié)構(gòu),并且獲取了該網(wǎng)站的所有用戶數(shù)據(jù),共7580條用戶數(shù)據(jù)信息,這個獲取用戶數(shù)據(jù)的過程就是我們常說的“拖庫”。

拖庫:拖庫一詞多用于數(shù)據(jù)庫程序員專業(yè)人士使用,語意:從數(shù)據(jù)庫導(dǎo)出數(shù)據(jù)。很多時候數(shù)據(jù)庫的資料需要導(dǎo)出來在別的地方使用,并且數(shù)據(jù)庫資料可以導(dǎo)出好幾種格式,例如:TXT,XLS等格式。黑客攻擊者拖庫最簡單的形式就是找SQL注入點直接寫工具拖。

拖庫的危害:根據(jù)資料顯示部分網(wǎng)民習(xí)慣為郵箱、微博、游戲、網(wǎng)上支付、購物等帳號設(shè)置相同密碼,一旦數(shù)據(jù)庫被泄漏,所有的用戶資料被公布于眾,任何人都可以拿著密碼去各個網(wǎng)站去嘗試登錄,對一些敏感的金融行業(yè)是致命的危害,對普通用戶可能造成財產(chǎn),個人隱私的損失或泄漏。

“拖庫”完成后如果還想擴大攻擊范圍,我們可以繼續(xù)嘗試其他攻擊手段,獲取WEBshell。

WEBshell:“web”的含義是顯然需要服務(wù)器開放web服務(wù),“shell”的含義是取得對服務(wù)器某種程度上操作權(quán)限。webshell常常被稱為匿名用戶(入侵者)通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動態(tài)腳本的形式出現(xiàn),也有人稱之為網(wǎng)站的后門工具。

 

推薦閱讀】

設(shè)備管理系統(tǒng)運維管理專區(qū)

管理人員如何過網(wǎng)絡(luò)拓撲圖實現(xiàn)查詢

中小型數(shù)據(jù)安全和管理安全應(yīng)對之策

企業(yè)設(shè)備管理系統(tǒng)運維管理軟件趨勢

設(shè)備管理軟件軟件專區(qū)

本文來自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-15 10:22    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普設(shè)備管理系統(tǒng)其他應(yīng)用

員工管理軟件 工作日程管理軟件 門禁考勤系統(tǒng) 門禁管理系統(tǒng) 電話管理系統(tǒng) 設(shè)備管理系統(tǒng) 工單管理系統(tǒng) 設(shè)備管理系統(tǒng)免費版 免費工單管理系統(tǒng) 免費日程管理軟件 日程管理軟件免費下載 電話管理軟件下載 門禁管理系統(tǒng) 工單管理軟件