网站入侵的手段与流程
2021-03-18 分类: 网站建设
网站入侵的手段与流程
知己知彼方能百战不殆。事实上,我们的网站都是放置在机房,且很少有能力部署硬件防火墙,那么网站入侵的手段有哪些?如何防止网站入侵。下面是小编整理的网站入侵的手段与流程,希望对你有所启发。
1、信息收集
1.1Whois信息--注册人、电话、邮箱、DNS、地址
1.2Googlehack--敏感目录、敏感文件、更多信息收集
1.3服务器IP--Nmap扫描、端口对应的服务、C段
1.4旁注--Bing查询、脚本工具
1.5如果遇到CDN--Cloudflare(绕过)、从子域入手(mail,postfix)、DNS传送域漏洞
1.6服务器、组件(指纹)--操作系统、web server(apache,nginx,iis)、脚本语言
1.7 More...
通过信息收集阶段,攻击者基本上已经能够获取到网站的绝大部分信息,当然信息收集作为网站入侵的步,决定着后续入侵的成功。
2、漏洞挖掘
2.1探测Web应用指纹--Discuz、PHPwind、Dedecms、Ecshop...
2.2XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含...
2.3上传漏洞--截断、修改、解析漏洞
2.4有无验证码--进行暴力破解
2.5More...
经过漫长的,攻击者手里已经掌握了你网站的大量信息以及不大不小的漏洞若干,下一步他们便会开始利用这些漏洞获取网站权限。
3、漏洞利用
3.1思考目的性--达到什么样的效果
3.2隐藏,破坏性--根据探测到的应用指纹寻找对应的EXP攻击负荷或者自己编写
3.3开始漏洞攻击,获取相应权限,根据场景不同变化思路拿到webshell
通过不同类型漏洞的利用,攻击者可以入侵网站
4、权限提升
4.1根据服务器类型选择不同的攻击负荷进行权限提升
4.2无法进行权限提升,结合获取的资料开始密码猜解,回溯信息收集
5、植入后门
5.1隐蔽性
5.2定期查看并更新,保持周期性
6、日志清理
6.1伪装性,隐蔽性,避免激警他们通常选择删除指定日志
6.2根据时间段,find相应日志文件
新闻标题:网站入侵的手段与流程
转载来于:https://www.cdcxhl.com/news32/105432.html
成都网站建设公司_创新互联,为您提供网站改版、网站营销、云服务器、企业网站制作、企业建站、Google
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容
- 如何选择国外服务器? 2021-03-18
- VPN服务器可以用快云CDN加速吗? 2021-03-18
- 那些服务器维护是IDC该做 2021-03-18
- 程序员需要学什么?终于有了答案 2021-03-18
- 如何选择适合的IDC服务商? 2021-03-18
- 网格机房机柜、机架内的空间规划及理线方法 2021-03-18
- 如何迁移网站的数据目录到数据盘 2021-03-18
- AR技术,VR技术和AI技术是如何应用的? 2021-03-18
- 服务器如何做好DDoS防御? 2021-03-18
- 万网服务器和创新互联服务器的区别? 2021-03-18
- 如何查看网站日志 2021-03-18
- 北京dell服务器维修 2021-03-18
- SSL的自适应加密是什么? 2021-03-18
- 你了解交换机和路由器的区别? 2021-03-18
- 为什么说Kubernetes是新的应用服务器? 2021-03-18
- 如何使用宝塔面板对网站备份? 2021-03-18
- wordpress插件有哪些是有漏洞的? 2021-03-18
- 服务器遭受攻击后的处理过程 2021-03-18
- 如何解决服务器应用程序不可用 2021-03-18