進來先點個贊,評個論,關個注唄~
獲取更多學習資料、想加入社群、深入學習,請掃我的二維碼或加Memory20000427,誠意教學,白嫖繞道,
目前的網站可分為三大塊:
個人運營
團隊/公司運營
政府運營
個人網站比例還是很大的,這種網站多數采用開源系統,
如博客類:Wordpress、Emlog、Typecho、Z-blog、More…,
社區類:Discuz、PHPwind、StartBBS、Mybb等等,
團隊/公司網站使用常用的開源CMS比例也是非常大,政府類網站基本上外包開發較多,
當然互聯網公司自家產品應用必然都是公司自主開發:淘寶?知乎?豆瓣?等等,
如果更廣泛的話,可分為兩大塊:
開源與閉源,
能夠有效說明網站偽安全的就是從實戰出發的角度去證明到底是不是真的固若金湯,
這里之所以講到入侵方法不是為了教大家如何入侵網站,而是了解入侵的方法多種多樣,知己知彼才能百戰不殆,
下面我們就來說下黑客入侵網站的一些普通的流程,
黑客們入侵網站普遍的流程
1、資訊收集
1.1/ Whois資訊–注冊人、電話、郵箱、DNS、地址
1.2/ Googlehack–敏感目錄、敏感檔案、更多資訊收集
1.3/ 服務器IP–Nmap掃描、埠對應的服務、C段
1.4/ 旁注–Bing查詢、腳本工具
1.5/ 如果遇到CDN–Cloudflare(繞過)、從子域入手(mail,postfix)、DNS傳送域漏洞
1.6/ 服務器、組件(指紋)–作業系統、web server(apache,nginx,iis)、腳本語言
1.7/ More…
通過資訊收集階段,攻擊者基本上已經能夠獲取到網站的絕大部分資訊,當然資訊收集作為網站入侵的第一步,決定著后續入侵的成功,
2、漏洞挖掘
2.1/ 探測Web應用指紋–Discuz、PHPwind、Dedecms、Ecshop…
2.2/ XSS、CSRF、XSIO、SQLinjection、權限繞過、任意檔案讀取、檔案包含…
2.3/ 上傳漏洞–截斷、修改、決議漏洞
2.4/ 有無驗證碼–進行暴力破解
2.5/ More…
經過漫長的一天,攻擊者手里已經掌握了你網站的大量資訊以及不大不小的漏洞若干,下一步他們便會開始利用這些漏洞獲取網站權限,
3、漏洞利用
3.1/ 思考目的性–達到什么樣的效果
3.2/ 隱藏,破壞性–根據探測到的應用指紋尋找對應的EXP攻擊載荷或者自己撰寫
3.3/ 開始漏洞攻擊,獲取相應權限,根據場景不同變化思路拿到webshell
4、權限提升
4.1/ 根據服務器型別選擇不同的攻擊載荷進行權限提升
4.2/ 無法進行權限提升,結合獲取的資料開始密碼猜解,回溯資訊收集
5、植入后門
5.1/ 隱蔽性
5.2/ 定期查看并更新,保持周期性
6、日志清理
6.1/ 偽裝性,隱蔽性,避免激警他們通常選擇洗掉指定日志
6.2/ 根據時間段,find相應日志檔案 太多太多,,,
說了那么多,這些步驟不知道你看懂了多少?其實大部分的腳本小黑顯然不用這些繁瑣的步驟,他們只喜歡快感!
通常他們會使用各種漏洞利用工具或者弱口令(admin,admin888)進行攻擊,
當然,這種“黑客”僅僅是出于“快感”而去想入侵你的網站,如果是別有它意的人,麻煩就來了,
說完入侵的流程,我們來說下為什么企業網站需要做滲透測驗,
第一:網路安全法規定
2017年6月1日正式實施的網路安全法中明確要求:第三十三條,至第三十八條針對關鍵資訊基礎設施運營者所做的規定(如關鍵資訊基礎設施運營商應當自行或委托網路安全服務機構對其網路安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵資訊基礎設施安全保護作業的部門),具有相當的強制性——在法律責任部分明確提到若不履行這些規定,則由有關主管部門責令整改、給予警告;
拒不改正或導致危害網路安全等后果的,處十萬元以上一百萬元以下罰款,而且還對直接負責的主管人員除以一萬元以上、十萬元以下罰款,
關于網路安全法的解讀,可以點擊【網路安全解讀】進行查看
值得關注的是,在資訊安全風險評估中,滲透測驗是一種常用且非常重要的手段,
第二:滲透測驗助力PCI DSS合規建設
在PCI DSS(Payment Card Industry Security Standards Council支付卡行業安全標準委員會)第 11.3中有這樣的要求:至少每年或者在基礎架構或應用程式有任何重大升級或修改后(例如作業系統升級、環境中添加子網路或環境中添加網路服務器)都需要執行內部和外部基于應用層和網路層的滲透測驗,
第三:ISO27001認證的基線要求
ISO27001 附錄“A12資訊系統開發、獲取和維護”的要求,建立了軟體安全開發周期,并且特別提出應在上線前參照例如OWASP標準進行額外的滲透測驗 ,目前北京安普諾資訊公司已經獲得ISO27001的認證,
第四:銀監會多項監管指引中要求
依據銀監會頒發的多項監管指引中明確要求,對銀行的安全策略、內控制度、風險管理、系統安全等方面需要進行的滲透測驗和管控能力的考察與評價,
第五:最大限度減少業務損失
除了滿足政策的合規性要求、提高客戶的操作安全性或滿足業務合作伙伴的要求,最終的目標應該是最大限度地減小業務風險,
企業需要盡可能多地進行滲透測驗,以保持安全風險在可控制的范圍內,
網站開發程序中,會發生很多難以控制、難以發現的隱形安全問題,當這些大量的瑕疵暴露于外部網路環境中的時候,就產生了資訊安全威脅,
這個問題,企業可以通過定期的滲透測驗進行有效防范,早發現、早解決,經過專業滲透人員測驗加固后的系統會變得更加穩定、安全,測驗后的報告可以幫助管理人員進行更好的專案決策,同時證明增加安全預算的必要性,并將安全問題傳達到高級管理層,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/278415.html
標籤:其他