當(dāng)前位置:工程項目OA系統(tǒng) > 領(lǐng)域應(yīng)用 > 辦公管理系統(tǒng) > 設(shè)備管理系統(tǒng)
設(shè)備管理系統(tǒng)維護經(jīng)驗:如何預(yù)防黑客攻擊WEB
下面我們?yōu)榇蠹曳纸夂诳腿肭终叩臐B透WEB網(wǎng)站的主流手段。
假設(shè)目標站點http://192.168.40.21/是一個大型綜合類網(wǎng)站,會員數(shù)目眾多。
1.鎖定目標、搜集信息
黑客入侵一個目標站點的時候,首先要看該站點是否存在利益價值。目前黑客入侵者的商業(yè)攻擊主要針對在線購物網(wǎng)站、社交網(wǎng)站、網(wǎng)絡(luò)游戲、大型論壇、慈善機構(gòu)、電子政務(wù)、金融證券網(wǎng)站等網(wǎng)站。這些網(wǎng)站可以竊取會員用戶信息進行社工欺騙,比如利用獲取的身份信息對用戶親屬進行電話詐騙、利用大部分人習(xí)慣用同一個帳號密碼的習(xí)慣去嘗試登錄其他網(wǎng)站,并且這些會員信息可以多次出售專賣;黑客入侵者還可以通過入侵政府網(wǎng)站掛“黑鏈”,因為政府網(wǎng)站在搜索引擎中占據(jù)的權(quán)重較高,攻擊者可以通過此方法使自己指定的網(wǎng)站插入到政府網(wǎng)站頁面中,從而提供其在搜索引擎中的排名靠前并盈利。
黑鏈是SEO手法中相當(dāng)普遍的一種手段,籠統(tǒng)地說,它就是指一些人用非正常的手段獲取的其它網(wǎng)站的反向鏈接,最常見的黑鏈就是通過各種網(wǎng)站程序漏洞獲取搜索引擎權(quán)重或者PR較高的網(wǎng)站的WEBSHELL,進而在被黑網(wǎng)站上鏈接自己的網(wǎng)站,其性質(zhì)與明鏈一致,都是屬于為高效率提升排名,而使用的作弊手法。
在確定目標后,黑客入侵者就會搜集該目標站點的相關(guān)信息,一次入侵的成功與前期的信息收集關(guān)系很大。搜集信息可以讓入侵起到事半功倍的效果,只經(jīng)過一些簡單的操作就可以得到一些服務(wù)器的Webshell,甚至于系統(tǒng)管理權(quán)限,搜集信息一般分為三種:
①工具掃描:黑客入侵者會使用各種掃描工具對入侵目標進行大規(guī)模掃描,得到系統(tǒng)信息和運行的服務(wù)信息,如對方所使用的操作系統(tǒng)、開放了哪些端口、存在哪些漏洞。典型的掃描工具有:
Nmap掃描目標網(wǎng)站端口開放信息
②社會工程攻擊:利用各種查詢手段得到與被入侵目標相關(guān)的一些信息,通常通過這種方式得到的信息,會被社會工程學(xué)這種入侵手法用到,而且社會工程學(xué)入侵手法也是最難察覺和防范的。
社會工程學(xué)(Social Engineering):通常是利用大眾的疏于防范的詭計,讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式,從合法用戶中套取敏感的信息,例如:用戶名單、用戶密碼及網(wǎng)絡(luò)結(jié)構(gòu),即使很警惕很小心的人,一樣也有可能被高明的社會工程學(xué)手段損害利益,可以說是防不勝防。網(wǎng)絡(luò)安全是一個整體,對于某個目標在久攻不下的情況下,黑客會把矛頭指向目標的系統(tǒng)管理員,因為人在這個整體中往往是最不安全的因素,黑客通過搜索引擎對系統(tǒng)管理員的一些個人信息進行搜索,比如電子郵件地址、MSN、QQ等關(guān)鍵詞,分析出這些系統(tǒng)管理員的個人愛好,常去的網(wǎng)站、論壇,甚至個人的真實信息。然后利用掌握的信息與系統(tǒng)管理員拉關(guān)系套近乎,騙取對方的信任,使其一步步落入黑客設(shè)計好的圈套,最終造成系統(tǒng)被入侵。這也就是我們常說的“沒有絕對的安全,只有相對的安全,只有時刻保持警惕,才能換來網(wǎng)絡(luò)的安寧”。
③公開域信息:主要通過Google Hacking和Whios等手段獲取信息。
Google Hacking:指利用Google Google搜索引擎搜索信息來進行入侵的技術(shù)和行為,不少入侵者利用Google強大的搜索功能來搜索某些關(guān)鍵詞,找到有系統(tǒng)漏洞和Web漏洞的服務(wù)器,打造成自己的肉雞。
敏感的信息包括:
目標站點的信息
已丟失信息的追回
存儲密碼的文件
后臺管理和上傳文件的 Web 頁
數(shù)據(jù)庫
特定擴展名的文件
特定的Web程序,如論壇
Whios:Whois協(xié)議,是一種信息服務(wù),通過向服務(wù)器的TCP端口43建立一個連接后,對輸入的關(guān)鍵詞進行查詢,能夠提供有關(guān)所有DNS域和負責(zé)各個域的系統(tǒng)管理員數(shù)據(jù),其中記錄著每個互連網(wǎng)站點的詳細信息,其中包括域名、服務(wù)器地址、聯(lián)絡(luò)人、電話號碼和地址。我們可以以Web方式查詢,比如到http://whois.www.net.cn/或者http://whois.webhosting.info查詢,假設(shè)我們要查詢www.baidu.com的域名信息,我們到http://whois.www.net.cn/查詢的結(jié)果如圖:
通過上面的介紹我們對黑客攻擊前的踩點和信息搜集有了認識,目前我們已經(jīng)得知目標站點http://192.168.40.21/主要開放了HTTP 80端口,遠程登錄RDP 3389端口;服務(wù)器采用的WINDOWS系統(tǒng),中間件使用的Apache Tomcat,網(wǎng)站腳本語言用的JSP。
2、深入攻擊階段
利用SQL注入“拖庫”
在深入攻擊的過程中,首先攻擊者需要找到一個動態(tài)鏈接的URL看是否存在SQL注入漏洞,例如現(xiàn)在找到一個http://192.168.40.21/news.jsp?id=127,通過簡單的注入嘗試語句發(fā)現(xiàn)該URL確實存在SQL注入漏洞,攻擊者一般為了節(jié)省時間都會使用工具來促進效率。
通過工具攻擊者獲取到了服務(wù)器的環(huán)境變量,數(shù)據(jù)庫結(jié)構(gòu),并且獲取了該網(wǎng)站的所有用戶數(shù)據(jù),共7580條用戶數(shù)據(jù)信息,這個獲取用戶數(shù)據(jù)的過程就是我們常說的“拖庫”。
拖庫:拖庫一詞多用于數(shù)據(jù)庫程序員專業(yè)人士使用,語意:從數(shù)據(jù)庫導(dǎo)出數(shù)據(jù)。很多時候數(shù)據(jù)庫的資料需要導(dǎo)出來在別的地方使用,并且數(shù)據(jù)庫資料可以導(dǎo)出好幾種格式,例如:TXT,XLS等格式。黑客攻擊者拖庫最簡單的形式就是找SQL注入點直接寫工具拖。
拖庫的危害:根據(jù)資料顯示部分網(wǎng)民習(xí)慣為郵箱、微博、游戲、網(wǎng)上支付、購物等帳號設(shè)置相同密碼,一旦數(shù)據(jù)庫被泄漏,所有的用戶資料被公布于眾,任何人都可以拿著密碼去各個網(wǎng)站去嘗試登錄,對一些敏感的金融行業(yè)是致命的危害,對普通用戶可能造成財產(chǎn),個人隱私的損失或泄漏。
“拖庫”完成后如果還想擴大攻擊范圍,我們可以繼續(xù)嘗試其他攻擊手段,獲取WEBshell。
WEBshell:“web”的含義是顯然需要服務(wù)器開放web服務(wù),“shell”的含義是取得對服務(wù)器某種程度上操作權(quán)限。webshell常常被稱為匿名用戶(入侵者)通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動態(tài)腳本的形式出現(xiàn),也有人稱之為網(wǎng)站的后門工具。
【推薦閱讀】
◆設(shè)備管理系統(tǒng)運維管理專區(qū)
◆管理人員如何過網(wǎng)絡(luò)拓撲圖實現(xiàn)查詢
◆中小型數(shù)據(jù)安全和管理安全應(yīng)對之策
◆企業(yè)設(shè)備管理系統(tǒng)運維管理軟件趨勢
◆設(shè)備管理軟件軟件專區(qū)
本文來自互聯(lián)網(wǎng),僅供參考- 1IT業(yè)界面臨的九大最嚴峻安全威脅
- 2IT運維管理體系轉(zhuǎn)變維護觀念
- 3NAS為何是數(shù)據(jù)中心虛擬化存儲的首選?
- 4IT技術(shù)發(fā)展趨勢預(yù)測:BYOD、大數(shù)據(jù)上榜
- 5IT系統(tǒng)運維的八個主要方面
- 6IT運維人員如何應(yīng)對虛擬化安全?
- 7設(shè)備管理系統(tǒng)app
- 8網(wǎng)絡(luò)故障排除實例:人情帶來的網(wǎng)絡(luò)擁塞問題
- 9設(shè)備管理系統(tǒng)維護經(jīng)驗:如何設(shè)計不易破解的密碼
- 10數(shù)據(jù)中心體系管理平臺的主要作用
- 11設(shè)備管理系統(tǒng)故障的四大解決方案
- 12工廠生產(chǎn)設(shè)備管理臺賬怎樣制作?
- 13設(shè)備臺賬管理軟件為企業(yè)帶來的效益
- 14如何滿足企業(yè)的防病毒需求
- 15系統(tǒng)管理員之企業(yè)生存守則
- 16IT運維管理安全五大錯誤解析
- 17IT運維人員需求猛增 2013年缺口兩百萬
- 18數(shù)據(jù)中心存儲能耗如何降低
- 19虛擬網(wǎng)絡(luò)設(shè)備的優(yōu)缺點何在?
- 20服務(wù)器管理經(jīng)驗:IIS故障問題分析及解決方案
- 21設(shè)備管理系統(tǒng)管理平臺功能模塊
- 22系統(tǒng)管理員團隊管理自測寶典
- 23數(shù)據(jù)中心機房巡檢管理該檢查什么?
- 24Gartner:大數(shù)據(jù)分析人才將供不應(yīng)求
- 25設(shè)備信息管理系統(tǒng)的功能需求
- 26塑造IT行業(yè)未來的10大新興技術(shù)
- 27設(shè)備信息管理系統(tǒng)解決企業(yè)哪些問題?
- 28企業(yè)應(yīng)用云計算的十大理由與注意事項
- 29倫敦奧運會中的網(wǎng)絡(luò)、網(wǎng)站和無線節(jié)點們
- 30數(shù)字化設(shè)備信息管理系統(tǒng)的功能優(yōu)勢
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓