網站入侵的手段與流程
2021-03-18 分類: 網站建設
網站入侵的手段與流程
知己知彼方能百戰不殆。事實上,我們的網站都是放置在機房,且很少有能力部署硬件防火墻,那么網站入侵的手段有哪些?如何防止網站入侵。下面是小編整理的網站入侵的手段與流程,希望對你有所啟發。
1、信息收集
1.1Whois信息--注冊人、電話、郵箱、DNS、地址
1.2Googlehack--敏感目錄、敏感文件、更多信息收集
1.3服務器IP--Nmap掃描、端口對應的服務、C段
1.4旁注--Bing查詢、腳本工具
1.5如果遇到CDN--Cloudflare(繞過)、從子域入手(mail,postfix)、DNS傳送域漏洞
1.6服務器、組件(指紋)--操作系統、web server(apache,nginx,iis)、腳本語言
1.7 More...
通過信息收集階段,攻擊者基本上已經能夠獲取到網站的絕大部分信息,當然信息收集作為網站入侵的步,決定著后續入侵的成功。
2、漏洞挖掘
2.1探測Web應用指紋--Discuz、PHPwind、Dedecms、Ecshop...
2.2XSS、CSRF、XSIO、SQLinjection、權限繞過、任意文件讀取、文件包含...
2.3上傳漏洞--截斷、修改、解析漏洞
2.4有無驗證碼--進行暴力破解
2.5More...
經過漫長的,攻擊者手里已經掌握了你網站的大量信息以及不大不小的漏洞若干,下一步他們便會開始利用這些漏洞獲取網站權限。
3、漏洞利用
3.1思考目的性--達到什么樣的效果
3.2隱藏,破壞性--根據探測到的應用指紋尋找對應的EXP攻擊負荷或者自己編寫
3.3開始漏洞攻擊,獲取相應權限,根據場景不同變化思路拿到webshell
通過不同類型漏洞的利用,攻擊者可以入侵網站
4、權限提升
4.1根據服務器類型選擇不同的攻擊負荷進行權限提升
4.2無法進行權限提升,結合獲取的資料開始密碼猜解,回溯信息收集
5、植入后門
5.1隱蔽性
5.2定期查看并更新,保持周期性
6、日志清理
6.1偽裝性,隱蔽性,避免激警他們通常選擇刪除指定日志
6.2根據時間段,find相應日志文件
新聞標題:網站入侵的手段與流程
轉載來于:http://m.2m8n56k.cn/news32/105432.html
成都網站建設公司_創新互聯,為您提供網站改版、網站營銷、云服務器、企業網站制作、企業建站、Google
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容
- 如何選擇國外服務器? 2021-03-18
- VPN服務器可以用快云CDN加速嗎? 2021-03-18
- 那些服務器維護是IDC該做 2021-03-18
- 程序員需要學什么?終于有了答案 2021-03-18
- 如何選擇適合的IDC服務商? 2021-03-18
- 網格機房機柜、機架內的空間規劃及理線方法 2021-03-18
- 如何遷移網站的數據目錄到數據盤 2021-03-18
- AR技術,VR技術和AI技術是如何應用的? 2021-03-18
- 服務器如何做好DDoS防御? 2021-03-18
- 萬網服務器和創新互聯服務器的區別? 2021-03-18
- 如何查看網站日志 2021-03-18
- 北京dell服務器維修 2021-03-18
- SSL的自適應加密是什么? 2021-03-18
- 你了解交換機和路由器的區別? 2021-03-18
- 為什么說Kubernetes是新的應用服務器? 2021-03-18
- 如何使用寶塔面板對網站備份? 2021-03-18
- wordpress插件有哪些是有漏洞的? 2021-03-18
- 服務器遭受攻擊后的處理過程 2021-03-18
- 如何解決服務器應用程序不可用 2021-03-18