为什么很多网站系统都存在这个安全漏洞,这里面我所指的一些网站都是一些小公司的,或者是一些个人的网站系统,比如说像阿里、腾讯、百度这些大公司,他们因为有自己的开发团队和相关的这个安全人员,他们的漏洞相对就非常非常的少。那么一个网站的话,一旦存在这个安全漏洞,它就有可能会造成巨大的这个经济损失。一般出现这个安全漏洞的网站的话,它会导致这个数据被恶意的去修改,或者是一些敏感的数据被盗取,从而造成经济的损失。
接下来的话我就通过一个案例和大家说明一下,如果您已经看过这个案例的话,可以直接跳过,进入后面的详细描述。这里我给大家准备了一个网站,那么这个网站的话,大家也可以通过百度,然后搜索关键词,就可以找到它的这个官网。那么这个官网的话,我们事先的话对它进行这个安全漏洞测试的时候,就发现了它存在一个高危的注入漏洞。当然这个漏洞的话,我们也是会通知他们的相关的技术人员,技术维护人员,然后协助他们进行这个漏洞的修复,这个网站也是经过授权许可才会进行漏洞测试,切不可未授权就去测试漏洞。
那么今天的话我就和大家演示一下这个漏洞它是怎么个利用法。因为它存在这个安全漏洞,那么上面的这个网站的这个数据的话就会被恶意的去修改,比如说一些不法分子的话,他就可以去修改这个客服联系电话,当然的话上面的一些图片还有一些数据都是可以进行修改,比如说像这个官方的这个二维码,那么接下来我就给大家一演示一下如何去使用这个漏洞。
那么首先的话我们现在需要用到一款工具,那么这款工具的话它是专门用来扫描漏洞的工具,然后的话我们先来把这个网站测试一下,把这个客服的这个电话然后的话将它修改成400120-120,这里面的话我们需要用到一个这个叫做攻击脚本,然后的话我们复制一下,然后的话打开这个工具,然后这里面的话我们就填写一下注入脚本,然后这里面的话它有一个后台的一个地址,我们填写它网站的地址就可以了,然后的话我们点击一下这个注入脚本,然后的话我们再来刷新,然后看一下,这里面的话就变成了这个400120120,然后接下来的话我们就去尝试修改一下它的这个二维码,因为它这个二维码的话它是一个图片的形式,所以说的话我们就要事先准备一个二维码,二维码图片,比如说我们现在的话事先准备了这个二维码,这是一个被替换的二维码,然后的话我们来执行一下这个攻击脚本,然后看一下这个具体这个效果,我们复制一下这段代码,然后的话在同样的话在这个注入脚本这里面的话点击一下注入脚本,然后我们再来刷新一下看一下。大家注意看,位置的这个二维码就已经是被修改了。
这个漏洞的演示就到通过上面的这个案例我们就可以看到,因为网站存在这个安全漏洞,它就会导致一些信息被修改。比如说一些联系方式,还有一些二维码或者是一些图片等等。如果说你是做这个广告推广的,因为这个推广页面的话存在这个安全漏洞,就会导致你这个自己花钱要给别人做广告。
那么回到这个主题,那么为什么很多网站它会存在这个安全漏洞,首先的话因为绝大多数的这种小公司或者是个人的这种网站系统,通常的话都不是自己开发的,都是通过网上某一些渠道来购买的,比如说像淘宝或者是某一些个人技术开发者,然后从那里购买而来的。
那么这些技术开发者或者是一些淘宝店家,他们是不是拥有非常雄厚的这个技术基础,当然不是,他们也也是通过在互联网上去下载下载相关这个源码,然后给你去搭建,所以很多价格的话都是非常的低廉,比如说几十块几百块几千块的都有,比如说像一些CMS系统,博客系统,然后企业网站系统等等。
好,但是这些从互联网上面下载下来的源码,他是不是已经被黑客事先加入了一些后门,或者是源代码是否存在这个代码缺陷,这个的话别人压根不会去管这个问题,别人管的只是给你搭建好系统,然后验收通过,你给钱就完事了。
那么通常正确的做法就是说需要对这些系统进行这个安全审计,进行这个安全审计检检查一下,看看它是否存在这个安全漏洞。另外一个的话就需要做一些安全的这个测试,在即即使这个代码有这个缺陷的。第二个的原因的话主要是因为现在很多的这种系统的话,它都是大量的采用各种各样的这种开源组件,那么通常一套成熟的系统,它都会包含数10种这种组件,那么这些组件的话它是否存在这个安全隐患。
如果一旦别人研究到了这个漏洞,而你要使用这套源码,那么就会很容易的被别人攻破了,比如说以前的这个织梦dedeCMS,它就会存在上传漏洞,导致国内的60%的网站系统都被黑客拿下来,然后做百度灰色关键词等等。当然的话这个导致这个防站的安全漏洞的这个原因还有很多做里面的话,因为这个时间的关系,我就不一一的举例,如果说有什么不懂的,或者是需要这个相关的网站漏洞修复技术支持的,都可以来找SINE安全寻求相关的这个技术支持
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。