网络安全

当前位置:AG亚游集团 > 网络安全 >

网站入侵的手段

时间:2015-06-16        阅读:次        QQ群:182913345

        知己知彼方能百战不殆。事实上,我们的网站都是放置在机房,且很少有能力部署硬件防火墙,那么网站入侵的手段有哪些?如何防止网站入侵?下面是小编整理的网站入侵的手段与流程,希望对你有所启发。
 
        1、信息收集
        1.1 Whois信息--注册人、电话、邮箱、DNS、地址
        1.2 Googlehack--敏感目录、敏感文件、更多信息收集
        1.3 服务器IP--Nmap扫描、端口对应的服务、C段
        1.4 旁注--Bing查询、脚本工具
        1.5 如果遇到CDN--Cloudflare(绕过)、从子域入手(mail,postfix)、DNS传送域漏洞
        1.6 服务器、组件(指纹)--操作系统、web server(apache,nginx,iis)、脚本语言
        通过信息收集阶段,攻击者基本上已经能够获取到网站的绝大部分信息,当然信息收集作为网站入侵的第一步,决定着后续入侵的成功。
 
        2、漏洞挖掘
        2.1 探测Web应用指纹--Discuz、PHPwind、Dedecms、Ecshop...
        2.2 XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含...
        2.3 上传漏洞--截断、修改、解析漏洞
        2.4 有无验证码--进行暴力破解
        经过漫长的一天,攻击者手里已经掌握了你网站的大量信息以及不大不小的漏洞若干,下一步他们便会开始利用这些漏洞获取网站权限。
 
        3、漏洞利用
        3.1 思考目的性--达到什么样的效果
        3.2 隐藏,破坏性--根据探测到的应用指纹寻找对应的EXP攻击负荷或者自己编写
        3.3 开始漏洞攻击,获取相应权限,根据场景不同变化思路拿到webshell
        通过不同类型漏洞的利用,攻击者可以入侵网站
 
        4、权限提升
        4.1 根据服务器类型选择不同的攻击负荷进行权限提升
        4.2 无法进行权限提升,结合获取的资料开始密码猜解,回溯信息收集
 
        5、植入后门
        5.1 隐蔽性
        5.2 定期查看并更新,保持周期性
 
        6、日志清理
        6.1 伪装性,隐蔽性,避免激警他们通常选择删除指定日志
        6.2 根据时间段,find相应日志文件

上一篇:防火墙分为哪几个种类

下一篇:服务器安全设置

扫一扫,更多精彩内容推送

PHP技术分享

分享PHP技术,前端技术,数据库,SEO优化,服务器,网络安全等知识,是php程序员工作学习的好帮手!

Copyright © 2013-2015.AG亚游集团PHP技术分享 AG亚游集团 www.zhanxiqi.com  版权所有  网站地图    AG亚游集团

免责声明:网站内容收集于互联网,本网站不承担任何由于内容的合法性及健康性所引起的争议和法律责任。

欢迎大家对网站内容侵犯版权等不合法和不健康行为进行监督和举报。 沪ICP备15014499号-2

欧股收盘:习近平讲话平息贸易战担忧 欧股欢欣雀跃 最高检:八类司法过程陷困境未成年人将获司法救助 路透:央行官员表示中国应停止虚拟货币场外集中交易 河南交警谈奔驰失控狂奔:过收费站未见明显减速 美国前监管官员:Facebook或因泄露数据面临巨额罚… 吴金贵:非常对不起到场球迷 曹赟定两周内复训 男子自挂法国蓬皮杜中心外 谴叙利亚“化武攻击” 滴滴顺风车恢复上线遭冷落:有乘客倒戈专车出租车 拼多多股价在开盘之后直线下跌 最高跌幅超10% 马吴朱争选2020台湾地区领导人?洪秀柱却这样说 75亿!时隔一个月,当当“卖身” 华夏战舰启航小马哥首秀 战泰达欲延续全胜纪录
吴恒:修订《红十字会法》主要体现这三个方面 农心杯展现韩国不屈精神 金志锡警醒中国棋手 贝莱德称加密货币是胆大者的游戏 投资还需三思而行 名哨:新赛季执法力度空前严格 足协加大处罚力度 德媒曝拜仁主力飞翼考虑离队 皇马巴萨都想要他 阿里云深夜声明:绝不会提供“挖矿平台”和虚拟货币 奇牛国际:多重不利因素打压 澳元震荡下行 红黄蓝跳水 创下11月陷入涉虐童漩涡以来最大跌幅 俄航母被美媒评为“史上最差” 俄媒怒斥:胡说八道 专家:可将偷听偷拍作为敲诈勒索罪的加重情节 教育部部长两会关键词:重点解决百姓的十大期盼 警方将78名台湾电信诈骗嫌疑人从菲押解回国(图)
新京报:通报被调查官员 该不该“配照片”? 上海玉佛禅寺修缮新进展:完成新建观音殿和钟鼓楼 女性租房更偏好中高价位 全款购房比例更高 牛汇:多家国际顶级机构最新市场点评一览 北京\"最棒\"足球场将正式关门停业 业余足球的痛 政协委员李大壮:大陆强起来港台都受益 人社部:已有608万贫困劳动力实现比较稳定的就业 新京报评公公强吻儿媳:习俗不是恶意婚闹挡箭牌 全国妇联:部分基层警察仍把家暴作为“家务事” 做什么生意本小利大 女生最吃香的十大职业 微信赚钱的三大方法 怎么样白手起家 AG亚游集团