• 如果你喜欢Time_泽~少的博客,请按ctrl+D收藏吧!
  • 网络安全/信息技术博客

你的网站真的安全吗?

目前的网站可分为三大块:个人运营、团队/公司运营、政府运营。个人网站比例还是很大的,这种网站多数采用开源系统,如博客类:Wordpress、Emlog、Typecho、Z-blog、More…,社区类:Discuz、PHPwind、StartBBS、Mybb等等。团队/公司网站使用常用的开源CMS比例也是非常大,政府类网站基本上外包开发较多。当然互联网公司自家产品应用必然都是自主开发:淘宝?知乎?豆瓣?太多了。更泛一点的说,分为两大块:开源与闭源。

你的网站真的安全吗?

下面就简单介绍下黑客入侵网站的普遍手法:

1、信息收集:

1.1/ Whois信息–注册人、电话、邮箱、DNS、地址

1.2/ Googlehack–敏感目录、敏感文件、更多信息收集

1.3/ 服务器IP–Nmap扫描、端口对应的服务、C段

1.4/ 旁注–Bing查询、脚本工具

1.5/ 如果遇到CDN–Cloudflare(绕过)、从子域入手(mail,postfix)、DNS传送域漏洞

1.6/ 服务器、组件(指纹)–操作系统、web server(apache,nginx,iis)、脚本语言

1.7/ More…

通过信息收集阶段,攻击者基本上已经能够获取到网站的绝大部分信息,当然信息收集作为网站入侵的第一步,决定着后续入侵的成功。

2、漏洞挖掘:

2.1/ 探测Web应用指纹–Discuz、PHPwind、Dedecms、Ecshop…

2.2/ XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含…

2.3/ 上传漏洞–截断、修改、解析漏洞

2.4/ 有无验证码–进行暴力破解

2.5/ More…

经过漫长的一天,攻击者手里已经掌握了你网站的大量信息以及不大不小的漏洞若干,下一步他们便会开始利用这些漏洞获取网站权限。

3、漏洞利用:

3.1/ 思考目的性–达到什么样的效果

3.2/ 隐藏,破坏性–根据探测到的应用指纹寻找对应的EXP攻击载荷或者自己编写

3.3/ 开始漏洞攻击,获取相应权限,根据场景不同变化思路拿到webshell

4、权限提升:

4.1/ 根据服务器类型选择不同的攻击载荷进行权限提升

4.2/ 无法进行权限提升,结合获取的资料开始密码猜解,回溯信息收集

5、植入后门:

5.1/ 隐蔽性

5.2/ 定期查看并更新,保持周期性

6、日志清理:

6.1/ 伪装性,隐蔽性,避免激警他们通常选择删除指定日志

6.2/ 根据时间段,find相应日志文件

当然,黑客能有手段攻击网站,而且我们都有所了解,自然也能够防范。下面,就简单介绍

下最方便简单的防范办法:

1,网站程序的采用:尽量采用大厂商提供的程序,关注一些安全厂商以及官方微博,第一时间获取是否出现新漏洞,市面上开源所能提供的已经很广泛了,没有特殊需要无所谓非要自己重新写套程序。

2,服务器权限的配置:,关闭不需要的服务以及端口,定期的更新系统补丁,使用安全防御软件,例如安全狗、啊D等,文件列目录等权限最小化,尽量消减Guest权限,网站数据库不再使用ROOT权限,分配相应用户管理。

Other:使用WAF服务,例如加速乐、安全宝等,弱口令是大忌!谨记权限最小化! More…

不是没人能黑你,只是你没有价值被黑,不要等到出事后才想起来事前没做防护措施 密码定时更换,能少泄露自己的隐私就少泄露。

当然,一些企业对数据安全要求高,自己组织安全系统又费时、费力、费钱,所以,时下有很多企业选择服务器租用或托管在IDC数据中心机房,机房高防护区采用8台金盾1000+做集群防护。该区每个千兆口均采用金盾硬件防火墙中两台做1+1备份。且有专业技术人员监管维护,安全性是很高的,还省钱、省心、省力!

原创文章,转载请注明: 转载自Time_泽~少的博客

本文链接地址: 你的网站真的安全吗?

你的网站真的安全吗?



Time_泽~少的博客, 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明你的网站真的安全吗?
喜欢 (2)or分享 (0)
Time_泽 ~少
关于作者:
计算机专业/网络安全技术,社会工程学。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址可不填