為什么很多網站系統都存在這個安全漏洞,這里面我所指的一些網站都是一些小公司的,或者是一些個人的網站系統,比如說像阿里、騰訊、百度這些大公司,他們因為有自己的開發團隊和相關的這個安全人員,他們的漏洞相對就非常非常的少。那么一個網站的話,一旦存在這個安全漏洞,它就有可能會造成巨大的這個經濟損失。一般出現這個安全漏洞的網站的話,它會導致這個數據被惡意的去修改,或者是一些敏感的數據被盜取,從而造成經濟的損失。
接下來的話我就通過一個案例和大家說明一下,如果您已經看過這個案例的話,可以直接跳過,進入后面的詳細描述。這里我給大家準備了一個網站,那么這個網站的話,大家也可以通過百度,然后搜索關鍵詞,就可以找到它的這個官網。那么這個官網的話,我們事先的話對它進行這個安全漏洞測試的時候,就發現了它存在一個高危的注入漏洞。當然這個漏洞的話,我們也是會通知他們的相關的技術人員,技術維護人員,然后協助他們進行這個漏洞的修復,這個網站也是經過授權許可才會進行漏洞測試,切不可未授權就去測試漏洞。
那么今天的話我就和大家演示一下這個漏洞它是怎么個利用法。因為它存在這個安全漏洞,那么上面的這個網站的這個數據的話就會被惡意的去修改,比如說一些不法分子的話,他就可以去修改這個客服聯系電話,當然的話上面的一些圖片還有一些數據都是可以進行修改,比如說像這個官方的這個二維碼,那么接下來我就給大家一演示一下如何去使用這個漏洞。
那么首先的話我們現在需要用到一款工具,那么這款工具的話它是專門用來掃描漏洞的工具,然后的話我們先來把這個網站測試一下,把這個客服的這個電話然后的話將它修改成400120-120,這里面的話我們需要用到一個這個叫做攻擊腳本,然后的話我們復制一下,然后的話打開這個工具,然后這里面的話我們就填寫一下注入腳本,然后這里面的話它有一個后臺的一個地址,我們填寫它網站的地址就可以了,然后的話我們點擊一下這個注入腳本,然后的話我們再來刷新,然后看一下,這里面的話就變成了這個400120120,然后接下來的話我們就去嘗試修改一下它的這個二維碼,因為它這個二維碼的話它是一個圖片的形式,所以說的話我們就要事先準備一個二維碼,二維碼圖片,比如說我們現在的話事先準備了這個二維碼,這是一個被替換的二維碼,然后的話我們來執行一下這個攻擊腳本,然后看一下這個具體這個效果,我們復制一下這段代碼,然后的話在同樣的話在這個注入腳本這里面的話點擊一下注入腳本,然后我們再來刷新一下看一下。大家注意看,位置的這個二維碼就已經是被修改了。
這個漏洞的演示就到通過上面的這個案例我們就可以看到,因為網站存在這個安全漏洞,它就會導致一些信息被修改。比如說一些聯系方式,還有一些二維碼或者是一些圖片等等。如果說你是做這個廣告推廣的,因為這個推廣頁面的話存在這個安全漏洞,就會導致你這個自己花錢要給別人做廣告。
那么回到這個主題,那么為什么很多網站它會存在這個安全漏洞,首先的話因為絕大多數的這種小公司或者是個人的這種網站系統,通常的話都不是自己開發的,都是通過網上某一些渠道來購買的,比如說像淘寶或者是某一些個人技術開發者,然后從那里購買而來的。
那么這些技術開發者或者是一些淘寶店家,他們是不是擁有非常雄厚的這個技術基礎,當然不是,他們也也是通過在互聯網上去下載下載相關這個源碼,然后給你去搭建,所以很多價格的話都是非常的低廉,比如說幾十塊幾百塊幾千塊的都有,比如說像一些CMS系統,博客系統,然后企業網站系統等等。
好,但是這些從互聯網上面下載下來的源碼,他是不是已經被黑客事先加入了一些后門,或者是源代碼是否存在這個代碼缺陷,這個的話別人壓根不會去管這個問題,別人管的只是給你搭建好系統,然后驗收通過,你給錢就完事了。
那么通常正確的做法就是說需要對這些系統進行這個安全審計,進行這個安全審計檢檢查一下,看看它是否存在這個安全漏洞。另外一個的話就需要做一些安全的這個測試,在即即使這個代碼有這個缺陷的。第二個的原因的話主要是因為現在很多的這種系統的話,它都是大量的采用各種各樣的這種開源組件,那么通常一套成熟的系統,它都會包含數10種這種組件,那么這些組件的話它是否存在這個安全隱患。
如果一旦別人研究到了這個漏洞,而你要使用這套源碼,那么就會很容易的被別人攻破了,比如說以前的這個織夢dedeCMS,它就會存在上傳漏洞,導致國內的60%的網站系統都被黑客拿下來,然后做百度灰色關鍵詞等等。當然的話這個導致這個防站的安全漏洞的這個原因還有很多做里面的話,因為這個時間的關系,我就不一一的舉例,如果說有什么不懂的,或者是需要這個相關的網站漏洞修復技術支持的,都可以來找SINE安全尋求相關的這個技術支持
