為什麼很多網站系統都存在這個安全漏洞,這裡面我所指的一些網站都是一些小公司的,或者是一些個人的網站系統,比如說像阿裡、騰訊、百度這些大公司,他們因為有自己的開發團隊和相關的這個安全人員,他們的漏洞相對就非常非常的少。那麼一個網站的話,一旦存在這個安全漏洞,它就有可能會造成巨大的經濟損失。一般出現這個安全漏洞的網站的話,它會導緻這個數據被惡意地去修改,或者是一些敏感的數據被盜取,從而造成經濟的損失。
接下來的話我就通過一個案例和大家說明一下,如果您已經看過這個案例的話,可以直接跳過,進入後面的詳細描述。這裡我給大家準備了一個網站,那麼這個網站的話,大家也可以通過百度,然後搜索關鍵詞,就可以找到它的這個官網。那麼這個官網的話,我們事先的話對它進行這個安全漏洞測試的時候,就發現了它存在一個高危的注入漏洞。當然這個漏洞的話,我們也是會通知他們的相關的技術人員,技術維護人員,然後協助他們進行這個漏洞的修複,這個網站也是經過授權許可才會進行漏洞測試,切不可未授權就去測試漏洞。
那麼今天的話我就和大家演示一下這個漏洞它是怎麼個利用方法。因為它存在這個安全漏洞,那麼上面的這個網站的這個數據的話就會被惡意地去修改,比如說一些不法分子的話,他就可以去修改這個客服聯系電話,當然的話上面的一些圖片還有一些數據都是可以進行修改,比如說像這個官方的這個二維碼,那麼接下來我就給大家一演示一下如何去使用這個漏洞。
那麼首先的話我們現在需要用到一款工具,那麼這款工具的話它是專門用來掃描漏洞的工具,然後的話我們先來把這個網站測試一下,把這個客服的這個電話然後的話将它修改成400120-120,這裡面的話我們需要用到一個這個叫做攻擊腳本,然後的話我們複制一下,然後的話打開這個工具,然後這裡面的話我們就填寫一下注入腳本,然後這裡面的話它有一個後台的一個地址,我們填寫它網站的地址就可以了,然後的話我們點擊一下這個注入腳本,然後的話我們再來刷新,然後看一下,這裡面的話就變成了這個400120120,然後接下來的話我們就去嘗試修改一下它的這個二維碼。
因為它這個二維碼的話它是一個圖片的形式,所以說的話我們就要事先準備一個二維碼,二維碼圖片,比如說我們現在的話事先準備了這個二維碼,這是一個被替換的二維碼,然後的話我們來執行一下這個攻擊腳本,然後看一下這個具體這個效果,我們複制一下這段代碼,然後的話在同樣的話在這個注入腳本這裡面的話點擊一下注入腳本,然後我們再來刷新一下看一下。大家注意看,位置的這個二維碼就已經被修改了。
這個漏洞的演示就通過上面的這個案例我們就可以看到,因為網站存在這個安全漏洞,它就會導緻一些信息被修改。比如說一些聯系方式,還有一些二維碼或者是一些圖片等等。如果說你是做這個廣告推廣的,因為這個推廣頁面的話存在這個安全漏洞,就會導緻你自己花錢要給别人做廣告。
那麼回到這個主題,那麼為什麼很多網站它會存在這個安全漏洞,首先的話因為絕大多數的這種小公司或者是個人的這種網站系統,通常的話都不是自己開發的,都是通過網上某一些渠道來購買的,比如說像淘寶或者是某一些個人技術開發者,然後從那裡購買而來的。
那麼這些技術開發者或者是一些淘寶店家,他們是不是擁有非常雄厚的技術基礎,當然不是,他們也也是通過在互聯網上去下載下載相關這個源碼,然後給你去搭建,所以很多價格的話都是非常的低廉,比如說幾十塊幾百塊幾千塊的都有,比如說像一些CMS系統,博客系統,然後企業網站系統等等。
好,但是這些從互聯網上面下載下來的源碼,他是不是已經被黑客事先加入了一些後門,或者是源代碼是否存在這個代碼缺陷,這個的話别人壓根不會去管這個問題,别人管的隻是給你搭建好系統,然後驗收通過,你給錢就完事了。
那麼通常正确的做法就是說需要對這些系統進行這個安全審計,進行這個安全審計檢查一下,看看它是否存在這個安全漏洞。另外一個的話就需要做一些安全的這個測試,在即即使這個代碼有這個缺陷的。第二個的原因的話主要是因為現在很多的這種系統的話,它都是大量地采用各種各樣的這種開源組件,那麼通常一套成熟的系統,它都會包含數10種這種組件,那麼這些組件的話它是否存在這個安全隐患。
如果一旦别人研究到了這個漏洞,而你要使用這套源碼,那麼就會很容易的被别人攻破了,比如說以前的這個織夢dedeCMS,它就會存在上傳漏洞,導緻國内的60%的網站系統都被黑客拿下來,然後做百度灰色關鍵詞等等。當然的話這個導緻這個防站的安全漏洞的這個原因還有很多做裡面的話,因為這個時間的關系,我就不一一的舉例,如果說有什麼不懂的,或者是需要這個相關的網站漏洞修複技術支持的,都可以來找SINE安全尋求相關的這個技術支持
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!