为什么大公司不喜欢用第三方框架?难道是因为……
最近针对数据库的爆库事件越来越多,无论是个人开发者还是企业主,都面临着一丝丝的风险,而且很多人还没有具体的安全意识,给了黑客有了可乘之机,对于企业而言,可能意外着一场金钱灾难。
一些企业就算被恶意攻破服务器,也不愿意公开或被人发现,因为对于企业而言,相当于信用值降到了最低,如果公开信息那不就等于告诉别人自家的安全防护不靠谱,所以如果某些公司被GP后,交点钱也不会公开或者报案,给了某些不法分子可乘之机。
而对于个人创业者而言,这有点苦不堪言,除了时间精力上的困扰,还有金钱上的头疼,毕竟你要加防云服务器和高防策略,,每个月需要消费的费用都是不低的,对于创业者来说,金钱就是命脉,有点苦逼,下次我们来聊聊如何追踪到攻击者的源头,这将是有点技术含量的学习篇。
扯得有点远了,回到今天的主题—— 爆库 ,在黑客的圈子其实叫做“拖库”,是指将网站的数据库被黑客下载到本地。爆库其实很早就存在,但这次众多大型网站的接连爆库,引起了互联网上不小的轰动,某后花园已经炸开了锅一般。
这就是为什么大公司的平台都不喜欢用第三方框架的原因了,因此我们有必要了解下,黑客通常都是通过什么样的方式来做到这些呢?:
- 远程下载数据库文件:这种拖库方式的利用主要是由于管理员缺乏安全意识,在做数据库备份或是为了方便数据转移,将数据库文件直接放到了Web目录下,而web目录是没有权限控制的,任何人都可以访问的;还有就是网站使用了一些开源程序,没有修改默认的数据库;其实黑客每天都会利用扫描工具对各大网站进行疯狂的扫描,当你的备份的文件名如果落在黑客的字典里,就很容易被扫描扫描到,从而被黑客下载到本地。
- 利用Web应用漏洞拖库:随着开源项目的成熟发展,各种web开源应用,开源开发框架的出现,很多初创的公司为了减少开发成本,都会直接引入了那些开源的应用,但却并不会关心其后续的安全性,而黑客们在知道目标代码后,却会对其进行深入的分析和研究,当高危的零日漏洞发现时,这些网站就会遭到拖库的危险。
- 利用Web服务器(Apache,IIS,Tomcat等)漏洞拖库:Web安全实际上是Web应用和Web服务器安全的结合体;而Web服务器的安全则是由Web容器和系统安全两部分组成,系统安全通常会通过外加防火墙和屏蔽对外服务端口进行处理,但Web容器却是必须对外开发,因此如果Web容器爆出漏洞的时候,网站也会遭到拖库的危险。
- 利用网站挂马拖库:黑客会利用软件或系统漏洞,在特定的网站上进行挂马,如果网站管理员在维护系统的时候不小心访问到这些网站,在没有打补丁的前提下,就会被植入木马,也会引发后续的拖库风险。
- 传播恶意文件拖库 :黑客会利用一些免杀的木马,并将其和一些管理员常用的软件绑定,然后在网上进行传播,而当网站管理员下载运行后,也会导致服务器植入木马,引发后续的拖库风险。
- 内部人员泄漏数据库 :当然,也会有一些网站管理员经不起金钱的诱惑,将其维护的网站数据库进行兜售
- 社工网站管理员: 对目标网站的管理员进行工程学手段,获取到一些敏感后台的用户名和密码,从而引发的后续拖ku。
- 利用网站钓鱼:有时黑客也会为了获取某一些网站的帐号信息,他们会利用网站钓鱼的手段去欺骗用户主动输入,但这种方式只能获取部分帐号的真实信息,并没有入侵服务器。
通常爆的话是先用工具扫描几遍服务器,如果爆破成功,会根据环境在服务器内植入多个远程控制木马,然后成为他们的跳板,通常会偷偷创建多个管理员,相当于配备了大门的钥匙,随时进出,但当时是不会操作什么的,所以通常很难监测到,很多存储用户数据的信息的公司每天都会被各种攻击手段攻击,如果外泄,企业除了面临失信危机,还有可能面临法律上的风险。
今天我们先了解一下简单的BK方式。
爆库的方式有多种多样,常见的BK的方法有:3CKU,%5c,conn.asp,ddos,DNS串爆等等,高级一点的有DouX,Ket2,LX2等等…
我们拿几个网站来测试了解下它们的安全防护是如何,很多网站是不修改默认数据库和端口,所以用挖掘鸡几乎可以找到网站该有的漏洞,得到结果如下:
某论坛网站:
结果:bbs1.mbd、bbs2.mbd
所在目录组:/temp、/data、/databackup、
某投票网站漏洞:
文件名:toupiao.asp、about.asp
目录组:/wishdb、/toupiao、/backup
如愿以偿,我们得到了想要的结果。
以上爆库漏洞原理:这种类型网站比较简单,爆库一般加%5c或者inc,让系统调用数据时出现错误,然后返回数据库提示调用数据出现错误,错误数据里面一般含有数据库的绝对路径。把网址最后一个斜杠(/)改成%5c,最后在报错里会有正确路径。
切记及时打上补丁,修复高危漏洞,并采用高强度密码和口令,停止没有使用的端口。
作者:奥特曼超人Dujinyang
来源:CSDN
原文:dujinyang.blog.csdn.net/
版权声明:本文为博主杜锦阳原创文章,转载请附上博文链接!