最近針對資料庫的爆庫事件越來越多,無論是個人開發者還是企業主,都面臨著一絲絲的風險,而且很多人還沒有具體的安全意識,給了黑客有了可乘之機,對於企業而言,可能意外著一場金錢災難。
一些企業就算被惡意攻破伺服器,也不願意公開或被人發現,因為對於企業而言,相當於信用值降到了最低,如果公開資訊那不就等於告訴別人自家的安全防護不靠譜,所以如果某些公司被gp後,交點錢也不會公開或者報案,給了某些不法分子可乘之機。
而對於個人創業者而言,這有點苦不堪言,除了時間精力上的困擾,還有金錢上的頭疼,畢竟你要加防雲伺服器和高防策略,,每個月需要消費的費用都是不低的,對於創業者來說,金錢就是命脈,有點苦逼,下次我們來聊聊如何追蹤到攻擊者的源頭,這將是有點技術含量的學習篇。
這就是為什麼大公司的平台都不喜歡用第三方框架的原因了,因此我們有必要了解下,黑客通常都是通過什麼樣的方式來做到這些呢?:
利用web應用漏洞拖庫:隨著開源專案的成熟發展,各種web開源應用,開源開發框架的出現,很多初創的公司為了減少開發成本,都會直接引入了那些開源的應用,但卻並不會關心其後續的安全性,而黑客們在知道目標**後,卻會對其進行深入的分析和研究,當高危的零日漏洞發現時,這些**就會遭到拖庫的危險。
利用web伺服器(apache,iis,tomcat等)漏洞拖庫:web安全實際上是web應用和web伺服器安全的結合體;而web伺服器的安全則是由web容器和系統安全兩部分組成,系統安全通常會通過外加防火牆和遮蔽對外服務埠進行處理,但web容器卻是必須對外開發,因此如果web容器爆出漏洞的時候,**也會遭到拖庫的危險。
通常爆的話是先用工具掃瞄幾遍伺服器,如果爆破成功,會根據環境在伺服器內植入多個遠端控制木馬,然後成為他們的跳板,通常會偷偷建立多個管理員,相當於配備了大門的鑰匙,隨時進出,但當時是不會操作什麼的,所以通常很難監測到,很多儲存使用者資料的資訊的公司每天都會被各種攻擊手段攻擊,如果外洩,企業除了面臨失信危機,還有可能面臨法律上的風險。
今天我們先了解一下簡單的bk方式。
爆庫的方式有多種多樣,常見的bk的方法有:3cku,%5c,conn.asp,ddos,dns串爆等等,高階一點的有doux,ket2,lx2等等…
某論壇**:
結果:bbs1.mbd、bbs2.mbd
所在目錄組:/temp、/data、/databackup、
某投票**漏洞:
檔名:toupiao.asp、about.asp
目錄組:/wishdb、/toupiao、/backup
如願以償,我們得到了想要的結果。
以上爆庫漏洞原理:這種型別**比較簡單,爆庫一般加%5c或者inc,讓系統呼叫資料時出現錯誤,然後返回資料庫提示呼叫資料出現錯誤,錯誤資料裡面一般含有資料庫的絕對路徑。把**最後乙個斜槓(/)改成%5c,最後在報錯裡會有正確路徑。
切記及時打上補丁,修復高危漏洞,並採用高強度密碼和口令,停止沒有使用的埠。
原文:dujinyang.blog.csdn.net/
第三方框架和ARC
在使用了arc機制的專案中使用第三方開源框架的方法 1.在第三方開源框架的每個.m檔案都設定成 fno objc arc 具體方法 targets build phases compile sources 找到第三方框架的.m檔案雙擊 將會彈出乙個文字框,在文字框中輸入 fno objc arc 回...
工作常用第三方框架
網路請求 1 afnetworking 2 mknetworkkit 判斷網路狀態 1 reachability 2 afnetworking 其中的乙個類 資料解析轉json 1 sbjson 2 jsonkit 3 touchjson 模型資料轉換 jsonmodel 等待檢視 1 mbprog...
IOS常用第三方框架
1.jsonjson編碼解碼 2.gtmbase64 base64編碼解碼 3.touchxml 解析 4.sfhfkeychainutils 安全儲存使用者密碼到keychain中 5.mbprogresshud很棒的乙個載入等待特效框架 6.asihttprequest 等相關協議封裝 7.eg...