作为公司的运维人员,特别是中大型企业,网站被攻击,网站打不开是一件再平常不过的事情了。今天我们就来说说黑客是如何入侵你的网站导致用户无法正常访问的。

由于关注我们的用户有一些是企业运维者,所以小编在后面再说下为什么企业网站需要做渗透测试。

目前的网站可分为三大块:个人运营、团队/公司运营、政府运营。

个人网站比例还是很大的,这种网站多数采用开源系统。

如博客类:Wordpress、Emlog、Typecho、Z-blog、More...,

社区类:Discuz、PHPwind、StartBBS、Mybb等等。

团队/公司网站使用常用的开源CMS比例也是非常大,政府类网站基本上外包开发较多。

当然互联网公司自家产品应用必然都是公司自主开发:淘宝?知乎?豆瓣?等等。

如果更广泛的话,可分为两大块:开源与闭源。

能够有效说明网站伪安全的就是从实战出发的角度去证明到底是不是真的固若金汤。

这里之所以讲到入侵方法不是为了教大家如何入侵网站,而是了解入侵的方法多种多样,知己知彼才能百战不殆。

菜刀能够用来切菜,同样也能够用来杀人。

下面我们就来说下黑客入侵网站的一些普通的流程。

黑客们入侵网站普遍的流程

1、信息收集

1.1/ Whois信息--注册人、电话、邮箱、DNS、地址

1.2/ Googlehack--敏感目录、敏感文件、更多信息收集

1.3/ 服务器IP--Nmap扫描、端口对应的服务、C段

1.4/ 旁注--Bing查询、脚本工具

1.5/ 如果遇到CDN--Cloudflare(绕过)、从子域入手(mail,postfix)、DNS传送域漏洞

1.6/ 服务器、组件(指纹)--操作系统、web server(apache,nginx,iis)、脚本语言

1.7/ More...

通过信息收集阶段,攻击者基本上已经能够获取到网站的绝大部分信息,当然信息收集作为网站入侵的第一步,决定着后续入侵的成功。

2、漏洞挖掘

2.1/ 探测Web应用指纹--Discuz、PHPwind、Dedecms、Ecshop...

2.2/ XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含...

2.3/ 上传漏洞--截断、修改、解析漏洞

2.4/ 有无验证码--进行暴力破解

2.5/ More...

经过漫长的一天,攻击者手里已经掌握了你网站的大量信息以及不大不小的漏洞若干,下一步他们便会开始利用这些漏洞获取网站权限。

3、漏洞利用

3.1/ 思考目的性--达到什么样的效果

3.2/ 隐藏,破坏性--根据探测到的应用指纹寻找对应的EXP攻击载荷或者自己编写

3.3/ 开始漏洞攻击,获取相应权限,根据场景不同变化思路拿到webshell

4、权限提升

4.1/ 根据服务器类型选择不同的攻击载荷进行权限提升

4.2/ 无法进行权限提升,结合获取的资料开始密码猜解,回溯信息收集

5、植入后门

5.1/ 隐蔽性

5.2/ 定期查看并更新,保持周期性

6、日志清理

6.1/ 伪装性,隐蔽性,避免激警他们通常选择删除指定日志

6.2/ 根据时间段,find相应日志文件 太多太多。。。

说了那么多,这些步骤不知道你看懂了多少?其实大部分的脚本小黑显然不用这些繁琐的步骤,他们只喜欢快感!

通常他们会使用各种漏洞利用工具或者弱口令(admin,admin888)进行攻击。

当然,这种“黑客”仅仅是出于“快感”而去想入侵你的网站,如果是别有它意的人,麻烦就来了。

说完入侵的流程,我们来说下为什么企业网站需要做渗透测试。

第一:网络安全法规定

2017年6月1日正式实施的网络安全法中明确要求:第三十三条,至第三十八条针对关键信息基础设施运营者所做的规定(如关键信息基础设施运营商应当自行或委托网络安全服务机构对其网络安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门),具有相当的强制性——在法律责任部分明确提到若不履行这些规定,则由有关主管部门责令整改、给予警告;

拒不改正或导致危害网络安全等后果的,处十万元以上一百万元以下罚款,而且还对直接负责的主管人员除以一万元以上、十万元以下罚款。

关于网络安全法的解读,可以点击【网络安全解读】进行查看

值得关注的是,在信息安全风险评估中,渗透测试是一种常用且非常重要的手段。

第二:渗透测试助力PCI DSS合规建设

在PCI DSS(Payment Card Industry Security Standards Council支付卡行业安全标准委员会)第 11.3中有这样的要求:至少每年或者在基础架构或应用程序有任何重大升级或修改后(例如操作系统升级、环境中添加子网络或环境中添加网络服务器)都需要执行内部和外部基于应用层和网络层的渗透测试。

第三:ISO27001认证的基线要求

ISO27001 附录“A12信息系统开发、获取和维护”的要求,建立了软件安全开发周期,并且特别提出应在上线前参照例如OWASP标准进行额外的渗透测试 。目前北京安普诺信息公司已经获得ISO27001的认证。

第四:银监会多项监管指引中要求

依据银监会颁发的多项监管指引中明确要求,对银行的安全策略、内控制度、风险管理、系统安全等方面需要进行的渗透测试和管控能力的考察与评价。

第五:最大限度减少业务损失

除了满足政策的合规性要求、提高客户的操作安全性或满足业务合作伙伴的要求。最终的目标应该是最大限度地减小业务风险。

企业需要尽可能多地进行渗透测试,以保持安全风险在可控制的范围内。

网站开发过程中,会发生很多难以控制、难以发现的隐形安全问题,当这些大量的瑕疵暴露于外部网络环境中的时候,就产生了信息安全威胁。

这个问题,企业可以通过定期的渗透测试进行有效防范,早发现、早解决。经过专业渗透人员测试加固后的系统会变得更加稳定、安全,测试后的报告可以帮助管理人员进行更好的项目决策,同时证明增加安全预算的必要性,并将安全问题传达到高级管理层。

渗透测试与安全检测的区别

渗透测试不同于传统的安全扫描,在整体风险评估框架中,脆弱性与安全扫描的关系可描述为“承上”,即如上面所讲,是对扫描结果的一种验证和补充。

另外,渗透测试相对传统安全扫描的最大差异在于渗透测试需要大量的人工介入的工作。

这些工作主要由专业安全人员发起,一方面,他们利用自己的专业知识,对扫描结果进行深入的分析和判断。

另一方面则是根据他们的经验,对扫描器无法发现的、隐藏较深的安全问题进行手工的检查和测试,从而做出更为精确的验证(或模拟入侵)行为。

快快网络渗透测试服务通过模拟真实的黑客攻击,有效验证系统现有安全项目的防护强度,直观了解资产的安全风险,及时发现在开发、运维、管理等方面存在的技术短板,洞悉安全隐患,提供有效的整改建议并在完善后进行全面复查,全力保障客户的web安全。

黑客是如何入侵网站?为什么企业网站需要渗透测试?相关推荐

  1. 170 套各种公司网站模板软件公司网站模板企业网站模板创意设计公司网站模板html5网页静态模板Bootstrap扁平化网站源码css3手机seo自适响应

    170 套各种公司网站模板软件公司网站模板企业网站模板创意设计公司网站模板html5网页静态模板Bootstrap扁平化网站源码css3手机seo自适响应. 不仅仅是首页,二级页面,三级页面,登陆,购 ...

  2. 给你一个网站你是如何来渗透测试的

    给你一个网站你是如何来渗透测试的? from:https://zhuanlan.zhihu.com/p/36534786 1)信息收集, 1,获取域名的whois信息,获取注册者邮箱姓名电话等. 2, ...

  3. 知了堂|给你一个网站你是如何来渗透测试的?(信安面试题)

    给你一个网站你是如何来渗透测试的? 在获取书面授权的前提下: (1)信息收集, 1.获取域名的 whois 信息,获取注册者邮箱姓名电话等. 2.查询服务器旁站以及子域名站点,因为主站一般比较难,所以 ...

  4. 网站推广——企业网站如何在网站推广中获取用户信任感?

    对于一家足够成熟的网站建设公司来说,在企业网站优化过程中网站是否能获得用户的信任度对于日后的长期发展是有很大的决定性的作用.毕竟用户的信任可以为企业带来更多地交易合作的机会,但当下的互联网环境中人与人 ...

  5. 可以发外链的网站_企业网站上线后,何提升网站排名?

    现在各行各业网站众多,企业网站或者公司网站想要获得订单,那搜索引擎优化就必不可少,我们都知道一个网站在搜索引擎排名靠后,是很难获得流量的,如果一个网站在搜索引擎排名的前三页,则被意味着被用户所关注的机 ...

  6. html5简单企业网站,HTML5企业网站极简大气模板

    [实例简介] HTML5企业网站极简大气模板,滑动响应式交互,利用jQuery,bootstrap,Ajax,css技术开发,可直接与后台交互. [实例截图] [核心代码] HTML5企业网站极简大气 ...

  7. 如何做一个高权重的网站-成都企业网站建设

    很多站长将网站权重做到1或2 以后,就很难再提高网站权重了.智宇SEO总结9点教你如何打造一个高权重的网站.或许我总结的还不够全面,欢迎大家补充. 1.网站品牌规划. 个人网站我建议是做小而美的,因为 ...

  8. 成都网站建设企业网站备案需要哪些资料?

    一.企业备案所需资料: ①主办单位有效证件扫描件(营业执照): ②主办单位负责人有效证件复印件(身份证): ③主办单位负责人法人授权书扫描件(主体负责人是法人,这个就不用上传了): ④信息安全管理协议 ...

  9. 网站漏洞扫描软件wrbscanner_用于渗透测试的10种漏洞扫描工具

    漏洞扫描工具是IT部门中必不可少的工具之一,因为漏洞每天都会出现,给企业带来安全隐患. 漏洞扫描工具有助于检测安全漏洞.应用程序.操作系统.硬件和网络系统. 黑客在不停的寻找漏洞,并且利用它们谋取利益 ...

  10. 无法访问某个网站_企业网站排名回升后,快速下跌是什么原因?

    国庆假期期间,很多SEO人员,都是喜笑开颜的,理由非常简单:大量的网站关键词排名都开始回升,特别是之前一些"作弊"的网站,很多站的权重大幅度的提升. 这对于假期中的站长们,无非是一 ...

最新文章

  1. 窗口类、窗口类对象与窗口 三者之间关系
  2. struts-resultType属性
  3. linux系统编程之进程概念(操作系统---管理,进程创建,进程状态,进程优先级, 环境变量,程序地址空间,进程O(1)调度方法)
  4. 杭州·云栖大会宣布多款核心云产品降价,最高降幅达90%
  5. oracle深度巡检指标,oracle DBA 巡检项目
  6. hadoop1.1.2集群安装指南
  7. List of X$ Tables and how the names are derived
  8. python 3模块导入(import)问题一则
  9. [IntelliJ IDEA + EduTools] 从零开始编写一套 Java 教材(一)
  10. 番茄助手文件、函数说明
  11. [转载]Coursera课程批量下载(保持资源原目录结构)
  12. 【详解】计算机网络从总到细——UDP与TCP
  13. Chromecast电视投屏软件
  14. 电脑开机密码忘记了怎么解除
  15. 面向对象文字游戏,蜈蚣怪和蛇怪
  16. 案例:使用pre_trained模型进行VGG
  17. Bmob后端云(云数据库表的具体操作)
  18. 太厉害了!30行代码抓取上万个小姐姐跳舞视频,有点飘了~
  19. 理性讨论:字节跳动跟阿里,哪个环境更适合年轻人?
  20. yishaadmin,yishaadmin修改数据后回到起始页的解决办法,保持在修改前的页码,分页组件在修改数据后不返回到第一页

热门文章

  1. 使用矩阵分解找到相似歌曲
  2. 引爆你的集合灵感 [C#, LINQ]
  3. 微信小程序开发 uniapp【bug修复】点击事件 传值 数据结构错误 $orig
  4. 趣味证书制作生成微信小程序源码
  5. HTMl载入FLV格式网页视频播放器
  6. 信息与计算机科学讲座,【创新创业 计科在行动】2015级信息与计算科学专业大学生创新讲座、专业教育讲座暨学术前沿讲座专题报道...
  7. 5.9 Illustrator颜色的设置 [Illustrator CC教程]
  8. Java使用FFmpeg(自定义cmd)系列之MP4 转码 HLS m3u8 AES128 加密
  9. java在上海就业_叩丁狼教育上海Java一期就业报道
  10. 再次哀悼吧!最佳夸浏览器同步 Xmarks 宣布终止服务