我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:2019全年资料大全正版 > 泛型类型定义 >

黑客如何破解你的网站Web服务器?我们怎么防御?

归档日期:06-06       文本归类:泛型类型定义      文章编辑:爱尚语录

  客户通常会转向互联网以获取信息并购买产品和服务。为此,大多数组织都有网站。大多数网站都存储有价值的信息,如信用卡号,电子邮件地址和密码等。这使他们成为攻击者的目标。污损的网站也可用于传播宗教或政治意识形态等。

  客户通常会转向互联网以获取信息并购买产品和服务。为此,大多数组织都有网站。大多数网站都存储有价值的信息,如信用卡号,电子邮件地址和密码等。这使他们成为攻击者的目标。污损的网站也可用于传播宗教或政治意识形态等。

  在本文中,我们将向您介绍toweb服务器黑客技术以及如何保护服务器免受此类攻击。

  Web服务器是一种存储文件(通常是网页)并通过网络或Internet访问它们的程序。Web服务器需要硬件和软件。攻击者通常以软件中的攻击为目标,以获得授权进入服务器的权限。让我们看一下攻击者利用的一些常见漏洞。

  默认设置 - 攻击者可以轻松猜出这些设置,如默认用户ID和密码。默认设置还可能允许执行某些任务,例如在服务器上运行可以利用的命令。

  操作系统和网络配置错误 - 如果用户没有良好的密码,某些配置(例如允许用户在服务器上执行命令)可能会很危险。

  操作系统和Web服务器中的错误 - 操作系统或Web服务器软件中发现的错误也可被利用来获取对系统的未授权访问。

  目录遍历攻击 - 此类攻击利用Web服务器中的错误来未经授权访问不在公共域中的文件和文件夹。一旦攻击者获得访问权限,他们就可以下载敏感信息,在服务器上执行命令或安装恶意软件。

  拒绝服务攻击 - 通过此类攻击,Web服务器可能会崩溃或对合法用户不可用。

  域名系统劫持 -使用此类攻击者,DNS设置将更改为指向攻击者的Web服务器。应该发送到Web服务器的所有流量都被重定向到错误的流量。

  嗅探 - 通过网络发送的未加密数据可能会被截获并用于获取对Web服务器的未授权访问。

  网络钓鱼 - 通过此类攻击,攻击会冒充网站并将流量引导至虚假网站。不知情的用户可能会被欺骗提交敏感数据,如登录详细信息,信用卡号等。

  域欺骗 - 通过此类攻击,攻击者会破坏域名系统(DNS)服务器或用户计算机,从而将流量定向到恶意站点。

  破坏 - 通过这种类型的攻击,攻击者用不同的页面替换组织的网站,该页面包含黑客的名字,图像,可能包括背景音乐和消息。

  如果攻击者编辑网站内容并包含恶意信息或链接到色情网站,则组织的声誉可能会被破坏

  该Web服务器可用于安装在谁访问该网站的受损用户的恶意软件。下载到访问者计算机上的恶意软件可能是病毒,特洛伊木马或僵尸网络软件等。

  妥协的用户数据可能被用于欺诈活动,这可能导致业务损失或向组织委托其详细信息的用户提起诉讼

  Metasploit - 这是一个用于开发,测试和使用漏洞利用代码的开源工具。它可用于发现Web服务器中的漏洞并编写可用于危害服务器的漏洞。

  MPack - 这是一个Web开发工具。它是用PHP编写的,由MySQL作为数据库引擎支持。使用MPack攻击Web服务器后,所有流量都将重定向到恶意下载网站。

  Zeus - 此工具可用于将受感染的计算机变成僵尸程序或僵尸。僵尸程序是受感染的计算机,用于执行基于Internet的攻击。僵尸网络是受感染计算机的集合。然后,僵尸网络可用于拒绝服务攻击或发送垃圾邮件。

  补丁管理 - 这涉及安装补丁以帮助保护服务器。补丁是修复软件中的错误的更新。补丁可以应用于操作系统和Web服务器系统。

  漏洞扫描系统 - 包括Snort,NMap,Scanner Access Now Easy(SANE)等工具

  通过阻止来自攻击者的标识源IP地址的所有流量,防火墙可用于阻止简单的DoS攻击。

  默认端口和设置(如端口21的FTP)应更改为自定义端口和设置(FTP端口为5069)

  在这个实际场景中,我们将研究Web服务器攻击的解剖结构。我们假设我们的目标是。我们实际上并没有破解它,因为这是非法的。我们仅将该域用于教育目的。

  我们的下一步是扫描其他网站的SQL注入漏洞。注意:如果我们可以在目标上找到易受攻击的SQL,那么我们会直接利用它而不考虑其他网站。

  从上面的结果可以看出,所有使用GET变量作为SQL注入参数的网站都已列出。

  下一个逻辑步骤是扫描列出的网站以查找SQL注入漏洞。您可以使用手动SQL注入或使用本文中列出的SQL注入工具来执行此操作。

  我们不会扫描列出的任何网站,因为这是非法的。我们假设我们已经设法登录其中一个。您必须上传从下载的PHP shell。

  一旦您可以访问这些文件,您就可以获得数据库的登录凭据并执行任何您想要的操作,例如污损,下载电子邮件等数据等。

本文链接:http://buggystordera.com/fanxingleixingdingyi/448.html