习惯一个人

现在这个时候,很多站长大多经历些过网站被入侵或攻击的类似情况吧,可是知道是怎么被入侵的吗?

我若想入侵,就会采取什么方式,如何进行攻击呢,下面是我能采取的攻击方式.

希望看了的朋友认真看一看,在想想自己的博客或者网站是否还安全.希望有用.

攻击方式一:XSS漏洞.

很多网站存在的漏洞,这里以z-blog这个博客程序,也就是我也在用的这个程序做演示.

据我以前所掌握的经验和信息来看,z-blog这个博客程序是存在xss漏洞的.若还有其它漏洞,那这里就不提了.

之前好友ccoz曾经使用此方法给我做过演示,漏洞程序文件名暂时不公布.

因为我的博客还没有修复那漏洞,以后有时间和朋友讨论下如何修复,并且把方法公布在博客上.

对于xss漏洞,其实大多网站上都存在这样的漏洞的,包裹baidu这样的网站之前也没少存在.

在说下利用方法:编写个js,构造语句,上传某空间,然后在利用xss漏洞挂上.

演示地址:http://www.muxiaku.cn/xx.asp?q=%3Ciframe+src%3D%22http://www.baidu.com%22

实际攻击时,把baidu那个地址换做完成了的js脚本地址即可.发给对方,最好做下处理在发.

然后,换做是你,对方给你发了个你博客的地址,就想上面演示到的地址,你会打开看看吗?

若加以忽悠,我想一半以上都会打开看看吧,然后嘛,就中招了,cookie就将被窃取.

对于稍懂电脑网络的人大概已经看出什么了吧,得到了cookie就可以说基本入侵了对方的站.

防护方法:修复程序漏洞,不要随便点开陌生人发来的任何连接,等等..

攻击方式二:旁注,提权

之前在写友情检测lusongsong博客里面时已经提到旁注这个词.还有很多人不懂,这里我在说下.

旁注,也就是说,入侵指定网站不成功的情况下,由入侵目标网站同IP,也就是同一主机的网站.

得到同目标网站主机上任意一网站shell后进行提权,获得更大的权限,大概就是这个意思,就叫旁注.

某些站长以为自己的网站程序很安全,但是,你的程序安全了,但是同主机上另外的网站安全吗?

若IDC服务器商的主机安全做的不到位,攻击者攻击目标站不成功,那就会考虑旁注.在提权.

只要获得webshell.然后在利用服务器已开服务,已安装的软件或运行的程序,进行相应或其它漏洞进行提权.

方法方法:尽可能的使用独立服务器,推荐vps,或使用名气比较大,有实力的空间商的空间或主机.

攻击方式三:端口入侵

其实也可以应用在入侵家用电脑上面的,但是由于服务器和家用电脑的区别很大,方法和成功也不一样.

攻击者需要先扫描,了解目标网站主机上就开了那些端口.如:21,23,80,445,1433,3389,4489,8000,8080.

然后根据所开的各个端口进行相应的各种攻击,方法基本为:溢出,弱口令扫描.等等,

防护方法:关闭危险,不必要的端口,升级,更换更新应用程序的版本.设置复杂的服务密码.

攻击方式四:嗅探

这种攻击方式,我以前在友情检测lusongsong博客时候用到了,虽然有安装天网防火墙,但是攻击还是成功,

什么是嗅探.利用目标主机IP为数1到255之间,同一网关内的任何一IP,3389权限下,利用相关工具.

进行的arp等攻击方式,来窃取,截获指定出入目标IP内的重要端口通信信息.如:21,80,1433,3306,3389等信息..

为什么要用嗅探?大概的讲解下,也就是说,你的网站程序很安全,同IP上的站也很安全,或者别的什么.

总之,就是让攻击者无法直接入侵,那就考虑的是嗅探,这样可以根据目标IP上所开的端口来进行相应的嗅探.

防护方法:安装杀毒软件,防火墙,arp防火墙,或者其它安全防护软件.

攻击方式五:社工

社工,全名是:社会工程学,进行社工的目前有2种方法.甚至可以同过此方法直接入侵对方服务器.

1,通过已经掌握的目标个人信息,利用baidu或google等搜索更详细,更有价值的个人信息.

  搜索的主要信息为: 对方曾经注册过的ID,生日,手机号码,邮箱,网名.等等其它个人信息.

结合已经获得的信息,判断对方可能会使用什么密码,进行组合猜测对方重要密码.

2,通俗点就是利用:吭,蒙,骗,等社会经验,对其目标进行的沟通,信任上的欺骗.

直接和目标进行聊天,交谈,欺骗,套取有用,需要的些个人信息,结合上面提到的,进行更详细的渗透.

防护方法:在网络上不要使用真实资料.ID,邮箱等帐号不要使用同一密码,或简单密码.

攻击方式六:oady

oady,也就是某程序或软件,存在设计上的缺陷,被某些拥有高超技术的电脑高手所发现,掌握,并未对外公布.

利用此方法可进行直接对目标进行入侵或溢出,获得最高权限.

这里就跳过了,原因嘛,很简单了,掂量下自己的网站,会招致拥有oady的实力派黑客来入侵你吗?

防护方法:除了勤快修复系统漏洞外,几乎没有办法...

----------------------

相信大家看了以后,对黑客入侵有所了解了,安全,就是这样:攻击,是为了学会如何进行最好的防御.

也是根据我已经掌握,了解的技术和内幕所写的网站主流入侵文章,.

本人技术有限,文章可能写的不好,若有其它疑问,请留言提问.我会进可能的回答,

文章作者:MuXiaKu    转载请保留本文连接,谢谢.

本文地址:http://www.muxiaku.cn/post/94.html