設(shè)備管理系統(tǒng)維護(hù)經(jīng)驗(yàn)：如何預(yù)防黑客攻擊WEB

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

下面我們?yōu)榇蠹曳纸夂诳腿肭终叩臐B透WEB網(wǎng)站的主流手段。

假設(shè)目標(biāo)站點(diǎn)http://192.168.40.21/是一個(gè)大型綜合類網(wǎng)站，會(huì)員數(shù)目眾多。

1.鎖定目標(biāo)、搜集信息

黑客入侵一個(gè)目標(biāo)站點(diǎn)的時(shí)候，首先要看該站點(diǎn)是否存在利益價(jià)值。目前黑客入侵者的商業(yè)攻擊主要針對(duì)在線購物網(wǎng)站、社交網(wǎng)站、網(wǎng)絡(luò)游戲、大型論壇、慈善機(jī)構(gòu)、電子政務(wù)、金融證券網(wǎng)站等網(wǎng)站。這些網(wǎng)站可以竊取會(huì)員用戶信息進(jìn)行社工欺騙，比如利用獲取的身份信息對(duì)用戶親屬進(jìn)行電話詐騙、利用大部分人習(xí)慣用同一個(gè)帳號(hào)密碼的習(xí)慣去嘗試登錄其他網(wǎng)站，并且這些會(huì)員信息可以多次出售專賣；黑客入侵者還可以通過入侵政府網(wǎng)站掛“黑鏈”，因?yàn)檎W(wǎng)站在搜索引擎中占據(jù)的權(quán)重較高，攻擊者可以通過此方法使自己指定的網(wǎng)站插入到政府網(wǎng)站頁面中，從而提供其在搜索引擎中的排名靠前并盈利。

黑鏈?zhǔn)荢EO手法中相當(dāng)普遍的一種手段，籠統(tǒng)地說，它就是指一些人用非正常的手段獲取的其它網(wǎng)站的反向鏈接，最常見的黑鏈就是通過各種網(wǎng)站程序漏洞獲取搜索引擎權(quán)重或者PR較高的網(wǎng)站的WEBSHELL，進(jìn)而在被黑網(wǎng)站上鏈接自己的網(wǎng)站，其性質(zhì)與明鏈一致，都是屬于為高效率提升排名，而使用的作弊手法。

在確定目標(biāo)后，黑客入侵者就會(huì)搜集該目標(biāo)站點(diǎn)的相關(guān)信息，一次入侵的成功與前期的信息收集關(guān)系很大。搜集信息可以讓入侵起到事半功倍的效果，只經(jīng)過一些簡單的操作就可以得到一些服務(wù)器的Webshell，甚至于系統(tǒng)管理權(quán)限,搜集信息一般分為三種：

①工具掃描：黑客入侵者會(huì)使用各種掃描工具對(duì)入侵目標(biāo)進(jìn)行大規(guī)模掃描，得到系統(tǒng)信息和運(yùn)行的服務(wù)信息，如對(duì)方所使用的操作系統(tǒng)、開放了哪些端口、存在哪些漏洞。典型的掃描工具有：

Nmap掃描目標(biāo)網(wǎng)站端口開放信息

②社會(huì)工程攻擊：利用各種查詢手段得到與被入侵目標(biāo)相關(guān)的一些信息，通常通過這種方式得到的信息，會(huì)被社會(huì)工程學(xué)這種入侵手法用到，而且社會(huì)工程學(xué)入侵手法也是最難察覺和防范的。

社會(huì)工程學(xué)（Social Engineering）：通常是利用大眾的疏于防范的詭計(jì)，讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式，從合法用戶中套取敏感的信息，例如：用戶名單、用戶密碼及網(wǎng)絡(luò)結(jié)構(gòu)，即使很警惕很小心的人，一樣也有可能被高明的社會(huì)工程學(xué)手段損害利益，可以說是防不勝防。網(wǎng)絡(luò)安全是一個(gè)整體，對(duì)于某個(gè)目標(biāo)在久攻不下的情況下，黑客會(huì)把矛頭指向目標(biāo)的系統(tǒng)管理員，因?yàn)槿嗽谶@個(gè)整體中往往是最不安全的因素，黑客通過搜索引擎對(duì)系統(tǒng)管理員的一些個(gè)人信息進(jìn)行搜索，比如電子郵件地址、MSN、QQ等關(guān)鍵詞，分析出這些系統(tǒng)管理員的個(gè)人愛好，常去的網(wǎng)站、論壇，甚至個(gè)人的真實(shí)信息。然后利用掌握的信息與系統(tǒng)管理員拉關(guān)系套近乎，騙取對(duì)方的信任，使其一步步落入黑客設(shè)計(jì)好的圈套，最終造成系統(tǒng)被入侵。這也就是我們常說的“沒有絕對(duì)的安全，只有相對(duì)的安全，只有時(shí)刻保持警惕，才能換來網(wǎng)絡(luò)的安寧”。

③公開域信息：主要通過Google Hacking和Whios等手段獲取信息。

Google Hacking：指利用Google Google搜索引擎搜索信息來進(jìn)行入侵的技術(shù)和行為，不少入侵者利用Google強(qiáng)大的搜索功能來搜索某些關(guān)鍵詞，找到有系統(tǒng)漏洞和Web漏洞的服務(wù)器，打造成自己的肉雞。

敏感的信息包括：

目標(biāo)站點(diǎn)的信息

已丟失信息的追回

存儲(chǔ)密碼的文件

后臺(tái)管理和上傳文件的 Web 頁

數(shù)據(jù)庫

特定擴(kuò)展名的文件

特定的Web程序，如論壇

Whios：Whois協(xié)議，是一種信息服務(wù)，通過向服務(wù)器的TCP端口43建立一個(gè)連接后，對(duì)輸入的關(guān)鍵詞進(jìn)行查詢，能夠提供有關(guān)所有DNS域和負(fù)責(zé)各個(gè)域的系統(tǒng)管理員數(shù)據(jù)，其中記錄著每個(gè)互連網(wǎng)站點(diǎn)的詳細(xì)信息，其中包括域名、服務(wù)器地址、聯(lián)絡(luò)人、電話號(hào)碼和地址。我們可以以Web方式查詢，比如到http://whois.www.net.cn/或者h(yuǎn)ttp://whois.webhosting.info查詢，假設(shè)我們要查詢www.baidu.com的域名信息，我們到http://whois.www.net.cn/查詢的結(jié)果如圖：

通過上面的介紹我們對(duì)黑客攻擊前的踩點(diǎn)和信息搜集有了認(rèn)識(shí)，目前我們已經(jīng)得知目標(biāo)站點(diǎn)http://192.168.40.21/主要開放了HTTP 80端口，遠(yuǎn)程登錄RDP 3389端口；服務(wù)器采用的WINDOWS系統(tǒng)，中間件使用的Apache Tomcat，網(wǎng)站腳本語言用的JSP。

2、深入攻擊階段

利用SQL注入“拖庫”

在深入攻擊的過程中，首先攻擊者需要找到一個(gè)動(dòng)態(tài)鏈接的URL看是否存在SQL注入漏洞，例如現(xiàn)在找到一個(gè)http://192.168.40.21/news.jsp?id=127,通過簡單的注入嘗試語句發(fā)現(xiàn)該URL確實(shí)存在SQL注入漏洞，攻擊者一般為了節(jié)省時(shí)間都會(huì)使用工具來促進(jìn)效率。

通過工具攻擊者獲取到了服務(wù)器的環(huán)境變量，數(shù)據(jù)庫結(jié)構(gòu)，并且獲取了該網(wǎng)站的所有用戶數(shù)據(jù)，共7580條用戶數(shù)據(jù)信息，這個(gè)獲取用戶數(shù)據(jù)的過程就是我們常說的“拖庫”。

拖庫：拖庫一詞多用于數(shù)據(jù)庫程序員專業(yè)人士使用，語意：從數(shù)據(jù)庫導(dǎo)出數(shù)據(jù)。很多時(shí)候數(shù)據(jù)庫的資料需要導(dǎo)出來在別的地方使用，并且數(shù)據(jù)庫資料可以導(dǎo)出好幾種格式，例如：TXT，XLS等格式。黑客攻擊者拖庫最簡單的形式就是找SQL注入點(diǎn)直接寫工具拖。

拖庫的危害：根據(jù)資料顯示部分網(wǎng)民習(xí)慣為郵箱、微博、游戲、網(wǎng)上支付、購物等帳號(hào)設(shè)置相同密碼，一旦數(shù)據(jù)庫被泄漏，所有的用戶資料被公布于眾，任何人都可以拿著密碼去各個(gè)網(wǎng)站去嘗試登錄，對(duì)一些敏感的金融行業(yè)是致命的危害，對(duì)普通用戶可能造成財(cái)產(chǎn)，個(gè)人隱私的損失或泄漏。

“拖庫”完成后如果還想擴(kuò)大攻擊范圍，我們可以繼續(xù)嘗試其他攻擊手段，獲取WEBshell。

WEBshell：“web”的含義是顯然需要服務(wù)器開放web服務(wù)，“shell”的含義是取得對(duì)服務(wù)器某種程度上操作權(quán)限。webshell常常被稱為匿名用戶（入侵者）通過網(wǎng)站端口對(duì)網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動(dòng)態(tài)腳本的形式出現(xiàn)，也有人稱之為網(wǎng)站的后門工具。

【推薦閱讀】

◆設(shè)備管理系統(tǒng)運(yùn)維管理專區(qū)

◆管理人員如何過網(wǎng)絡(luò)拓?fù)鋱D實(shí)現(xiàn)查詢

◆中小型數(shù)據(jù)安全和管理安全應(yīng)對(duì)之策

◆企業(yè)設(shè)備管理系統(tǒng)運(yùn)維管理軟件趨勢

◆設(shè)備管理軟件軟件專區(qū)