常见的网络攻击类型有哪些? 第1页
1
shi-shi-fei-fei-73-57 网友的相关建议:
网站被入侵,一直是困扰很多人的问题
下面我从技术原理和流程给你说一下这个东西是怎么一回事儿
为了模拟,我在本地搭建了服务器环境,展示一个正常网站如何被攻击。
首先修改电脑本地host文件。改了之后就可以用http://test.com虚拟域名访问本地文件了。文件目录在“C:WindowsSystem32driversetc”
网站目录很简单,如下:
在网站入口中,引用了数据库配置文件,然后输出一句话来模拟网站首页。
在数据库配置文件中,我参照当前流行的框架ThinkPHP数据库配置文件,返回一个数据库基本信息数组,包括数据库的端口和密码。
接下来就是我们的重头戏,黑客后门文件。
你可能会觉得,就这?就这几行代码能干什么?
开始模拟攻击
我们访问一下我们的网站
网站可以正常访问,没有任何问题
访问一下黑客文件,好像也没有问题
1、输出php版本信息
现在黑客已经知道你后台php版本,装了那些插件,数据库用的是什么数据库
2、网页重定向
可以跳转到 百度了,这表示,黑客已经搭好了一个运行代码的环境。现在通过你的网站,已经可以随便写一行代码都可以执行了
3、读取数据库配置信息
已经把你的密码什么的都弄到手了,你的网站什么数据,都可以修改了,怕不怕。甚至可以“删库跑路”!!
4、删除文件
看:1.txt文件被删除了
这就可以删除你网站上的文件了
不知道你有没有听过这么一句话,没有绝对安全的系统
这个世界上没有绝对安全的防御,只要你想
就是时间和成本的问题了
关于网站入侵,简单分享到这里,如果对这方面技术感兴趣的小伙伴,可以参考下图找我交流
def recognition_captcha(data):
''' 识别验证码 '''
file_id = str(uuid.uuid1())
filename = 'captcha_'+ file_id +'.gif'
filename_png = 'captcha_'+ file_id +'.png'
if(data is None):
return
data = base64.b64decode(data.encode('utf-8'))
with open( filename ,'wb') as fb:
fb.write( data )
appid = 'appid' # 接入优图服务,注册账号获取
secret_id = 'secret_id'
secret_key = 'secret_key'
userid= 'userid'
end_point = TencentYoutuyun.conf.API_YOUTU_END_POINT
youtu = TencentYoutuyun.YouTu(appid, secret_id, secret_key, userid, end_point) # 初始化
# 拿到的是gif格式,而优图只支持 JPG PNG BMP 其中之一,这时我们需要 pip install Pillow 来转换格式
im = Image.open( filename)
im.save( filename_png ,"png")
im.close()
result = youtu.generalocr( filename_png , data_type = 0 , seq = '') # 0代表本地路径,1代表url
return result
def get_captcha(sessiona,headers):
''' 获取验证码 '''
need_cap = False
while( need_cap is not True):
try:
sessiona.get('https://www.zhihu.com/signin',headers=headers) # 拿cookie:_xsrf
resp2 = sessiona.get('https://www.zhihu.com/api/v3/oauth/captcha?lang=cn',headers=headers) # 拿cookie:capsion_ticket
need_cap = json.loads(resp2.text)["show_captcha"] # {"show_captcha":false} 表示不用验证码
time.sleep( 0.5 + random.randint(1,9)/10 )
except Exception:
continue
try:
resp3 = sessiona.put('https://www.zhihu.com/api/v3/oauth/captcha?lang=cn',headers=headers) # 拿到验证码数据,注意是put
img_data = json.loads(resp3.text)["img_base64"]
except Exception:
return
1
相关话题
有哪些网络安全上的事实,没有一定安全知识的人不会相信?ddos攻击我被骗了诈骗了,网上找一个自称黑客的人说可以用DDOS帮我追回来,是不是骗人的?
疑似被新浪微博官方盗号,如何收集证据起诉?
如何反驳“代码混淆只是降低了可读性,安全性并没有得到实质提升”的观点?
如何看待网络安全审查办公室对「滴滴出行」启动网络安全审查?
xss到底是怎么攻击的?
如何看待湖南一镇党委书记系「爱马仕」皮带,官方回应称「系 140 元仿制品」?
各种浏览器的隐私/无痕模式能否真的能够解决隐私问题?
XSS 攻击时怎么绕过 htmlspecialchars 函数呢?
如果全世界的程序员都联合起来犯罪,人类文明社会会不会崩塌?
前一个讨论
下一个讨论
相关的话题
如何评价奥卡姆剃刀、王思聪、周鸿祎及众资安界人士在微博上关于无线网络下盗取网银密码的舌战?为什么搞安全「猥琐」最重要?
SecureRandom的nextInt()继承自Random,为什么他就比Random安全?
ActiveX 到底差在哪?
大学校方监控学生的上网记录妥当吗?是否侵犯学生隐私?学校通过什么技术手段监控,并且推送通报批评的消息?
网银的密码控件到底做了哪些安全保护工作?
二进制安全方向有没有可能在可见的未来里慢慢地消失?
电子科技大学周涛研究团队是否侵犯学生隐私?
评估内网的web应用意义大吗?
ORM 框架能自动防止SQL注入攻击吗?
网络安全书籍推荐?
WinPE 能破解 Windows 的密码,这样 Windows 就不安全吗?
ddos攻击我被骗了诈骗了,网上找一个自称黑客的人说可以用DDOS帮我追回来,是不是骗人的?
你见过最野的黑客是什么样的呢?
为什么那么多人推荐火绒?
评估内网的web应用意义大吗?
如何看待国家网信办等七部门进驻滴滴开展网络安全?
给我女神发消息,隔壁的二狗在同一 Wi-Fi 下,能收到我的帧吗?
如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?
你的电脑被黑客黑过吗?
你的初次渗透成功是怎么搞定的?
学习网络安全并想参赛只靠自学行吗?
安全问题,一个标准的绑定修改邮件怎么写?
谈谈机器学习在网络安全领域的局限性,以及是否乐观?
SolarWinds软件被黑客入侵,其目标和影响有哪些?
安全领域第三方资源的漏洞和基础软件漏洞是否比使用框架的产品业务代码的漏洞更多,且更容易挖掘和利用?
国内网络安全行业人才何时饱和,这个行业还有几年的热度?
有哪些被骇客攻击的趣事?
在网上自称为黑客的人真的是黑客吗?
支付宝在用户不知情的情况下给用户名加上“宝宝”二字,是否构成侵权?