web攻击方式

CSRF攻击

跨站脚本（XSS）

 

转知乎

 

http://www.zhihu.com/question/19984402

 

匿名用户

前面的匿名用户已经回答了主要的方法。不过很低调，我这菜鸟就展开说说吧。 说得不全，期待替他匿名用户补充。 

 

其实要渗透一个站的方法有很多。一个网站从开发到上线运营，需要经过很多环节很多人员。任何一个环节或者人员出了弱点都有可能被利用，从而造成巨大的损失。 

 

常见的入侵手段有以下几种： 

1.利用网站自身漏洞。 

比如sql注入。这里举个最简单的例子说说一个sql注入如何导致库被脱。 

比如我们的站上有个表单有sql注入，那么就可以执行sql语句，于是最简单的就是，通过这个表单将数据库dump到硬盘上的web目录中，然后就可以下载了。当然这还牵涉到如何通过触发web异常来获取web根目录等等（facebook就这样被白帽黑客们调戏过）。或者，我先通过正常渠道将一个web页面提交到库中，然后通过这个表单提交一个mysql的dump命令，好了，我们服务器硬盘上多了一个页面，可以访问了，如果这个页面有上传下载等功能呢，我就获得了一部分我们服务器的控制权了（术语叫webshell）。 

 

2.利用部署、运维过程中的疏忽，比如一些服务器软件，自带了一些管理后台和接口，如tomcat的manager页面，jboss的jmx console，wampp的webdav等。这些后台的通常是为开发者设计，很脆弱，而且一般都有默认的用户名和密码，是不应该在线上出现的，如果运维人员在部署系统是安全意识不够，暴露这些东西都会带来潜在的风险。我曾经所呆过的公司就被这个问题搞过多次。自己的管理后台也有同样的问题。 

再比如运维过程中的备份、上传等也容易爆弱点，最简单的方法，我们再用搜索引擎搜索“index of /upload”或者“index of /backup”翻了看看，能搜到多少好玩的东西（我就曾不小心搜到过一个招聘站的包含“用户姓名、手机号、邮箱”的库）。 

 

3.从办公网络入手，再进入服务器系统。由于办公网络使用的人员复杂，比如有人喜欢休息时逛逛这个论坛，有人习惯上上那个网站。如果有人上了网站被挂了木马。或者收到含有木马的邮件并打开了。都有可能导致办公机器首先沦陷，而办公机器连服务器往往都很容易。后面大家可想而知。 

 

4.直接入侵服务器。这在windows系统下比较明显，一个溢出就有可能导致获得管理员权限。linux则相对比较安全。 

 

5.社会工程，上面的传统方法对技术要求比较高。社会工程攻击就是重复利用人的弱点，骗取系统权限等有价值的信息。比如一个电话打过去，装作是同事，然后说：我是xxx部门的xxx，现在要做什么，但是没有权限，我们的密码是什么的？如果你但是已经忙得焦头烂额，很可能就直接把密码说了。或者事情很简单，坏人们手中有很强大的库，包括很多常用的默认密码（甚至公司内部通用的默认密码），用这些库来爆破你的服务器。直接就获得权限了。 

 

要防止此类灾难性的后果也很简单：堵住坏人的路。 

1.增强自己系统的安全性。从开发人员的安全开发技术培训，防止诸如sql注入、xss等严重漏洞的出现。工作人员的安全意识的培养等。设计系统的时候，要考虑到安全，如何加密，如何存储，如何传输，如果一个子系统沦陷了会不会导致其他子系统沦陷等等。 

 

2.审计要做好。事前及时发现异常。事后发现漏洞。 

 

3.对外合作、三方软件等使用须谨慎。不要让自己不可控的东西成为自己的安全短板。 

 

另外，提醒一下，其实坏人们手中的库是很多的，对于有价值的网站，会有人用各种库来刷。社工的库比我们想像的要大得多。我们大家自己要注意安全，千万不能一个密码走遍全网，在一些不靠谱的站上注册，就用被盗了也没事的密码，而邮箱密码和银行密码最好单独设置，单独用。不要以为自己的账号没被盗过，而是人家登过你的账号，然后发现没搞头又走了，你不知道而已，等哪天有搞头了，你就发现你的账号被盗了。

 

 

今何在

几种常用到的站点漏洞

1.XSS

2.0day

3.webshell

一般先扫站，爆页面，拿目录，post小马取权限然后上大马或者直接注入拿库

怎么防？

1.update now

2.抓0day

3.黑盒测试审代码

--------------------

爆库常用方式

1、通过暴力破解数据库用户口令，操纵数据库 

2、利用缺省口令的漏洞访问数据库 

3、利用权限提升的漏洞得到高权限用户身份，控制数据库 

4、利用PL/SQL注入等，获取访问权限提升，操纵数据库 

5、利用管理漏洞，获知DBA等合法用户名的口令，然后冒用 

6、入侵到数据库服务器主机，拷贝数据文件、或备份文件 

 

 

黄祺

比较常见的就是使用xss。百度等大网站也曾经爆过xss漏洞。这里复制一个例子吧，这个例子只是改了首页，不过拿到了后台权限之后拿到shell就可以搞定数据库了。  

 

　　因为某些原因我们想黑掉某个人的blog，该blog系统的源码我们可以从网上获取到，在简单审核一些代码之后我们没有发现明显的SQL注射之类的漏洞，但是发现了几个非常有意思的xss漏洞，该漏洞同样是反射型的xss，但是因为程序的原因可以使得exploit url变形得非常隐蔽。由于程序开源，我们通过本地搭建该环境可以轻松构造出可以加管理员，可以在后台写shell的小型exploit，并且将exploit通过远程的方式隐藏在前面的exploit url里。通过分析该程序发现在评论回复时只有登录才可以回复，而目标经常性回复别人的评论，所以我们发表了一个评论并且将exploit url写在里面，通过一些手段诱使目标会访问该url。在等待几个小时之后，我们看到该评论已经被管理员回复，那么我们的exploit也应该是被顺利执行了。上后台用定义好的账户登录，很顺利，shell也已经存在。OK，最后就是涂首页：)

　　对于这部分没有什么特别好说的，因为所有的数据和逻辑都是公开的，但是非常重要的一点依然是我们的场景。在某些应用程序里，因为前台的交互比较多，发生xss的点是前台，大部分用户的操作也都是前台发生的，但是这部分的权限非常没有意义，我们往往需要特定目标先访问后台，然后从后台访问我们的xss点才能获取相应的权限。这部分的攻击就变得比较困难了，而上面的攻击里，由于目标肯定会先访问后台然后访问该xss点，所以xss变得有趣多了。

 

再加点xss的介绍：

　　XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。

 

 

大石头 ，90后。龟迹网（guiji.us）独立创始人 微博：...

1 票，来自 石茂翔

再补充一个细节： 

比如 MySQL 如果不设置一定的权限， 3306 端口是任何远程主机都能连接的。 

如果管理员的密码比较弱，或者被泄露（账号很有可能是 root，黑客只需要破密码），就很可能黑客在任何机器上直接连接数据库。 

 

解决方案就是设置成只允许特定的主机才能连接。 

同样需要注意判断连接来源的，比如 memcached 。

 

 

周阳 ，专业信息安全、关注业界资讯。

注入、监听、暴库、弱口令扫描、XXS、还有溢出漏洞等。。。都是利用网站系统的漏洞。 

还有社会工程学，就是利用社工库对相关的站点进行扫描。

 

 

刘长元 ，IT工作者，LINUX，PERL，Microsoft MVP

2 票，来自 陈然、马振

说点题外话，在知乎有几个月了，经常会看到问题就一句话，非常简单的一句话。不加前提（本题还是好的）就问一个范围非常大的题目。比如本题，网站的用户数据库被入侵的方式有那些，嗯。

操作系统层面，网站层面，数据库层面都有可能吧，

操作系统直接入侵要分*NIX/NT两方便吧，

网站要分是自建系统还是通用系统吧，

通用系统要看具体是那个吧， 

数据库要分是Access？MySQL？MSSQL？Oracle？DB2？吧

PHP与Java也有不同吧

 

再来，也有可能某天来个VSFTPD的漏洞直接让人可以控制*NIX系统了，这样什么都保不住。

 

而这些下来所对应的如何防范。。。。。。。。

 

还不讨论什么社会工程学。。

 

安全这个东西不说开个专业，至少开门课讲上一年没问题吧