為什么很多網(wǎng)站系統(tǒng)都存在這個安全漏洞,這里面我所指的一些網(wǎng)站都是一些小公司的,或者是一些個人的網(wǎng)站系統(tǒng),比如說像阿里、騰訊、百度這些大公司,他們因為有自己的開發(fā)團隊和相關(guān)的這個安全人員,他們的漏洞相對就非常非常的少。那么一個網(wǎng)站的話,一旦存在這個安全漏洞,它就有可能會造成巨大的這個經(jīng)濟損失。一般出現(xiàn)這個安全漏洞的網(wǎng)站的話,它會導(dǎo)致這個數(shù)據(jù)被惡意的去修改,或者是一些敏感的數(shù)據(jù)被盜取,從而造成經(jīng)濟的損失。
接下來的話我就通過一個案例和大家說明一下,如果您已經(jīng)看過這個案例的話,可以直接跳過,進入后面的詳細描述。這里我給大家準備了一個網(wǎng)站,那么這個網(wǎng)站的話,大家也可以通過百度,然后搜索關(guān)鍵詞,就可以找到它的這個官網(wǎng)。那么這個官網(wǎng)的話,我們事先的話對它進行這個安全漏洞測試的時候,就發(fā)現(xiàn)了它存在一個高危的注入漏洞。當然這個漏洞的話,我們也是會通知他們的相關(guān)的技術(shù)人員,技術(shù)維護人員,然后協(xié)助他們進行這個漏洞的修復(fù),這個網(wǎng)站也是經(jīng)過授權(quán)許可才會進行漏洞測試,切不可未授權(quán)就去測試漏洞。
那么今天的話我就和大家演示一下這個漏洞它是怎么個利用法。因為它存在這個安全漏洞,那么上面的這個網(wǎng)站的這個數(shù)據(jù)的話就會被惡意的去修改,比如說一些不法分子的話,他就可以去修改這個客服聯(lián)系電話,當然的話上面的一些圖片還有一些數(shù)據(jù)都是可以進行修改,比如說像這個官方的這個二維碼,那么接下來我就給大家一演示一下如何去使用這個漏洞。
那么首先的話我們現(xiàn)在需要用到一款工具,那么這款工具的話它是專門用來掃描漏洞的工具,然后的話我們先來把這個網(wǎng)站測試一下,把這個客服的這個電話然后的話將它修改成400120-120,這里面的話我們需要用到一個這個叫做攻擊腳本,然后的話我們復(fù)制一下,然后的話打開這個工具,然后這里面的話我們就填寫一下注入腳本,然后這里面的話它有一個后臺的一個地址,我們填寫它網(wǎng)站的地址就可以了,然后的話我們點擊一下這個注入腳本,然后的話我們再來刷新,然后看一下,這里面的話就變成了這個400120120,然后接下來的話我們就去嘗試修改一下它的這個二維碼,因為它這個二維碼的話它是一個圖片的形式,所以說的話我們就要事先準備一個二維碼,二維碼圖片,比如說我們現(xiàn)在的話事先準備了這個二維碼,這是一個被替換的二維碼,然后的話我們來執(zhí)行一下這個攻擊腳本,然后看一下這個具體這個效果,我們復(fù)制一下這段代碼,然后的話在同樣的話在這個注入腳本這里面的話點擊一下注入腳本,然后我們再來刷新一下看一下。大家注意看,位置的這個二維碼就已經(jīng)是被修改了。
這個漏洞的演示就到通過上面的這個案例我們就可以看到,因為網(wǎng)站存在這個安全漏洞,它就會導(dǎo)致一些信息被修改。比如說一些聯(lián)系方式,還有一些二維碼或者是一些圖片等等。如果說你是做這個廣告推廣的,因為這個推廣頁面的話存在這個安全漏洞,就會導(dǎo)致你這個自己花錢要給別人做廣告。
那么回到這個主題,那么為什么很多網(wǎng)站它會存在這個安全漏洞,首先的話因為絕大多數(shù)的這種小公司或者是個人的這種網(wǎng)站系統(tǒng),通常的話都不是自己開發(fā)的,都是通過網(wǎng)上某一些渠道來購買的,比如說像淘寶或者是某一些個人技術(shù)開發(fā)者,然后從那里購買而來的。
那么這些技術(shù)開發(fā)者或者是一些淘寶店家,他們是不是擁有非常雄厚的這個技術(shù)基礎(chǔ),當然不是,他們也也是通過在互聯(lián)網(wǎng)上去下載下載相關(guān)這個源碼,然后給你去搭建,所以很多價格的話都是非常的低廉,比如說幾十塊幾百塊幾千塊的都有,比如說像一些CMS系統(tǒng),博客系統(tǒng),然后企業(yè)網(wǎng)站系統(tǒng)等等。
好,但是這些從互聯(lián)網(wǎng)上面下載下來的源碼,他是不是已經(jīng)被黑客事先加入了一些后門,或者是源代碼是否存在這個代碼缺陷,這個的話別人壓根不會去管這個問題,別人管的只是給你搭建好系統(tǒng),然后驗收通過,你給錢就完事了。
那么通常正確的做法就是說需要對這些系統(tǒng)進行這個安全審計,進行這個安全審計檢檢查一下,看看它是否存在這個安全漏洞。另外一個的話就需要做一些安全的這個測試,在即即使這個代碼有這個缺陷的。第二個的原因的話主要是因為現(xiàn)在很多的這種系統(tǒng)的話,它都是大量的采用各種各樣的這種開源組件,那么通常一套成熟的系統(tǒng),它都會包含數(shù)10種這種組件,那么這些組件的話它是否存在這個安全隱患。
如果一旦別人研究到了這個漏洞,而你要使用這套源碼,那么就會很容易的被別人攻破了,比如說以前的這個織夢dedeCMS,它就會存在上傳漏洞,導(dǎo)致國內(nèi)的60%的網(wǎng)站系統(tǒng)都被黑客拿下來,然后做百度灰色關(guān)鍵詞等等。當然的話這個導(dǎo)致這個防站的安全漏洞的這個原因還有很多做里面的話,因為這個時間的關(guān)系,我就不一一的舉例,如果說有什么不懂的,或者是需要這個相關(guān)的網(wǎng)站漏洞修復(fù)技術(shù)支持的,都可以來找SINE安全尋求相關(guān)的這個技術(shù)支持
