首页 产品服务 成功案例 新闻中心 联系方式 关于我们
QQ联系
售前咨询
售后服务
微信客服
QQ联系
售前咨询
售后服务
微信客服

黑客是通过什么手段攻击我们的网站系统的?

发布时间:2020-11-12 17:17
发布者:admin
浏览次数:

黑客攻击一个系统,要分两步。

第一步,找到一个漏洞。

第二步,利用这个漏洞。

注意,这两步缺一不可。

缺了任何一步,小罗就秒变李毅大帝。
 

1)谜一样的操作系统

把操作系统比作一个“黑暗迷宫”是最恰当不过的了。

为什么这样说呢?

中哥给你画图解释解释:

每当你输入一个数据,它就会在程序里顺着流程前行。你可以想象,自己举着这个数据,在伸手不见五指的迷宫里顺着路向前走;
遇到分叉路口,系统就会根据你手上数据的值为你选择一个方向,然后推你过去;
每一次遇到分岔路口,你都会被指派一个方向。最后的最后,你会走到一个光明的出口。一旦出去,你手里的“数据”就变成了一个“结果”,系统就完成了一组运算。
所以说,你进入迷宫的时候手里拿了怎样的数据,其实就几乎注定了你会在哪个出口出来。(是几乎,不是绝对)

 

刚才说的,是一个正常系统工作的样子。那么假设你是个黑客,攻击系统时,它是神马样子呢?

是这个样子滴:

你捧了一个特别奇葩的数据进入这个迷宫;
开始遇到分岔路口,系统还知道怎样为你分配路线;

你一直走走走走啊走,走到九月九,突然到了一个路口。程序说,纳尼?好像前面那几条路都不适合你,你走墙吧。。
于是,你就被程序一个骚操作,从墙里推出去了。。。

现在,你到了一个“未知的空间”。所谓“未知空间”,就是一个你在迷宫里正常地走,永远不会到达的地方。。。


恭喜你大佬,这时你已经成功找到了一个系统漏洞~~~~

别急,你还记得中哥在30秒版本里的描述吗?找到系统漏洞,只是攻击系统的第一步,你还需要更难的第二步:利用这个漏洞!!!!!

 

(2)利用漏洞

我们接着上面的图说。

你虽然到了未知的空间,但是并没有离开这个迷宫,而你如果想彻底控制这个迷宫,需要找到一个隐秘的出口。

我把刚才那张图再给你看一下,你看,从有些“未知空间”是可能通向有隐秘出口的。

当然在现实的程序里,这个迷宫比灵魂画手中哥画的复杂一万倍。

所以,未知空间分为两类:

有一种是可能让黑客走向迷宫之外的,例如 A 区域;(这种区域对于系统来说才危险)

有一种是会把黑客困死在迷宫里的,例如 B 区域。(这种区域对于系统来说不危险)

所以,从一个顶级黑客的角度看,要完成一次漂亮的进攻,首先要从正常的迷宫里发现“未知空间” A 区域(这对应着漏洞发现),然后再从 A 区域找到脱离迷宫的隐秘出口“X”(这对应着漏洞利用。。。)

好的,各位屏幕前突出的腰间盘同志们,现在给你们提个问题:

在一个非常非常非常肥肠复杂的迷宫里,你即使发现了一个“未知空间”,也很难知道这个未知空间究竟有没有可能通向隐秘出口“X”,这肿么办呢?

在以往的经验中,是这样操作哒:

黑客一旦进入“未知空间”,之后都会根据自己的经验,手动在黑暗里探索,左摸右摸,七上八下,九浅一深。

这会导致两个结果:

一个身经百战经验丰富的NB黑客,可能几下就找到了出口“X”;

一个腰膝酸软体力不支的弱鸡黑客,可能走一天还是在“鬼打墙”。

成功找到出口的黑客,就拿到了操作的控制权,相当于完成了一次攻击,至于接下来还要不要搞你就看这位黑客的心情了。
 

这里简单对以上出现的几个案例分析

1.黑客利用APP漏洞 非法提现一千多万元

这种支付漏洞利用方式较为简单,在提现页面处抓包篡改提现的金额,漏洞原理在于该APP开发时在支付的关键步骤数据包中传递明文显示、未做签名的金额参数,并且后端没有进行验证,导致被恶意利用。

2.黑客盗取个人信息牟利30万

由新闻所提到的员工账号被他人登陆,导出大量数据被导出。推测违法分子可能利用`SQLi`漏洞,注射出权限较高的员工账号密码解密后成功登陆该物流系统,或利用`XSS`漏洞获取员工的`Cookie`信息成功登陆,也不排除入侵数据库、系统存在命令执行、文件上传等等漏洞,都有可能造成信息泄露

3.打印机能成“后门”?

物联网设备恐成网络安全重灾区 人们在享受万物互联带来的便利同时,物联网终端的安全问题却逐渐暴露出来,甚至成为最薄弱环节。物联网安全主要分为只能硬件和工控。智能硬件包括我们都要用的到的智能插座、灯泡、电冰箱、电视、摄像头还有各种盒子联网的打印机、路由器都可能成为被黑客利用的“后门”窃取个人隐私,最近不断爆出的分布式拒绝服务(DDoS)攻击涉及使用成千上万中招的数字录像机和IP摄像头,突显了物联网构成的安全威胁。另一方面,各行业的工控系统安全均有需求,电力行业、石油石化行业、烟草行业及先进制造业的需求尤为突出

4.“挖矿”两年,获利1500万

“挖矿”指非法控制他人的计算机信息系统,通过大量计算机运算获取数字货币,如:比特币、门罗币、极特币等。这是一种计算机系统下的犯罪行为。自2015年起,该团伙利用黑客技术控制电脑主机389万台、挖矿主机100多万台,非法获利1500余万元。违法分子通过推广使用户下载外挂程序、某增值客户端,便向用户电脑植入挖矿程序,该木马自动启动,后台静默挖矿不易察觉。
 

编写的计算机程序都或多或少有考虑不周全的地方,这个不周全就称为漏洞,只不过这个漏洞可能会带来不同的后果,普通的可以危害很小,甚至没有严重影响,但是级别高的漏洞就有很大的危害,例如可以让机器死机、可以让攻击者控制机器等。举例:针对接收数据缓冲区设计的溢出攻击代码,含有漏洞的机器一旦接到精心构筑的超长数据,除了缓冲区被填充以外,剩余代码就会被填充到了缓冲区外的其他内存地址,一旦进入了没有被保护的数据执行区域,就会被加载执行,此类攻击代码被精心设计过,令执行代码长度刚好落入执行区域,否则攻击就会失败。打过补丁的机器就会对缓冲区重新构筑,超长代码会被拦截丢弃处理,就不会被攻击了。