侠客
正义之名,对决于紫禁之巅。
hacker
弹指之间,纵享主宰之快感。
继《浮出水面的社工ku,都TM不入流的戏子,卖艺罢了!》之后,小编觉得有必要,对hacker基础范畴做个简介。
后门技术,咱必知的基础模块。
hacker,此板块不必深厚,除去辛勤还需天赋。But,些许板块,咱还是得了解。
1、价值数据。
不一定就某宝,基本上囊括大部分电商平台,但凡交易,不论现今亦或数据,均备受青睐。
such as 某宝数据,订单信息怎么就外流了呢?
其一,不乏内部泄漏。没办法,利之所惑。
其二,卖家在运营店铺的同时,需要搭配很多辅助工具。
咦,工具不是平台都有提供吗?不一定的。诚如《淘宝店铺裂变,seo黑帽技术之站群在淘客界的多开利用》中,阿力推推提及的批量发布修改工具。一般卖家会买到带有后门性质的辅助工具,hacker再通过后门程序,打包店铺的订单数据进行贩卖。
信息,根据实时性定价。直接卖订单价格颇高,如果卖过去信息价格低些,一般就几毛钱一个。此类订单,或消费者信息(精准到品类订单),头部拥有者数量以百万计。
2、后门程序。
不仅电商,但凡交易类,你干活,别人收钱。
你要搭建一个网站,有人直接售卖程序。此类程序有后门,你网站所有的操作,背后都有一双眼睛,待你的站点产生交易,那他就该出手了。
打法,在游戏、bo菜、qi牌、电商等平台较为常见。
都知道bc暴利,很多老玩家就涉入其中,但其在互联网还是小白,被上家忽悠过来,买了一套程序,搭建了一个交易站点,自己在花钱去吸纳更多的玩家注册。没办法,zhuang家更暴利嘛。可惜,不曾想,买个后门程序。
暴利行业,攻防成本极高,数据安全没绝对的安全。
3、webshell 。
webshell,本身就是侵入站点的后门程序。扫漏洞,再出入webshell后门程序,获取目标站点的控制权限。以此,修改,添加,删除目标站点数据。
思路流弊点,来个套种套,后门中植入后门。
一般,此种方式运用并不难,可谓遍地“hei客”。小白通过工具,挂机一天一般可以搞到几十上百个站点的ftp权限。
ftp?本地与服务器之间,上传下载数据的工具。
搞到ftp怎么玩呢?其实寄生虫就是一个典型的案例,参考《2018春运抢票神器:不管黄牛还是抢票软件,都不如app捡漏靠谱》。
over?非也。
等有数据后,所谓“hei客”只不过是上半场,真正的hei客才刚登场,因为在你得到的数据,都会自动发送到头部hei客邮箱,坐收渔翁之利,甚至黑吃黑。
应用?
最典型的,就是早期的挂黑链,做单向链接交易。权重不同,单价不同,一个单链几块到几十块不等。
价格和权重正相关。
当然,也有一些拿到权限后,开栏目走新闻稿。But,此类打法鉴于擦边,均已影藏,玩法早已升级。
4、肉鸡。
头部,直接搞些价值型,诱点性等强需求,远程控制免sha软件。分发出来,让所谓“hei客”去走量,不断抓鸡。
其实抓来的终端,头部可一并享用。意淫下,假如你可以控制几十万台电脑,服务器是什么感觉?
抓鸡?干嘛玩?
终端在手,什么样的收割姿势都会有。
嗯,简单至此,大致get下。
羊毛vs平台,高逼格博弈。
消费者每一次点击背后,暗藏的是羊毛党与安全工程师的刺激博弈,或为利润或为技术的偏执。
技术不论,大多指向利润。
So,红包、优惠券、抽奖、打折、秒杀……但凡嗅得到利润,hei客羊毛头部,均骚动不已,参考《双十一:消费者的剁手狂欢,黑灰链的撸货盛宴》。
羊毛hei客:
羊毛,旨在撸商家和平台补贴。
1、批量抢优惠,再找渠道售卖,索取差价。
2、和商家联合,直接撸平台补贴,商家有了单量,对方赚了补贴。
流程:
1、走线报,评估风险,及操作难度,锁定目标。
有对应的圈子,互通消息,根据操作难度和风险成本,挑选补贴不错的目标。
2、索取手机号。
手机号,源于卡商,即帮运营商分销手机卡的,参看《撸货,小撸怡情,大撸伤身》。
羊毛党,会从卡商拿手机号,或者直接以收短信的形式合作。
3、注册平台帐号,并索取平台认证。
认证,牵涉证件、手机号、照片手持等信息,此类信息也有固定的渠道。一般,注册一个帐号成本几毛钱上线。
4、获取设备。
可以想象,一个几平米的房间,四面墙壁全是几层货架,慢慢的放着手机,一机一卡一号,参考《1卡1机1号:相较积粉走业务,养号玩租售稳当太多》。
5、索取秒杀工具。
秒杀工具,每逢大促,价格必涨,从几百到几千不等。
6、薅羊毛。
7、变现。
其中,每个环节早已团队化,甚至公司化运作。
而安全部门:
用户,从登陆、操作、下单、支付……好比过安检。即要用户体验,又要甄别hei客,操心不已。
案例至此,大伙儿但做了解吧。
xss跨站?
丈二和尚摸不着头脑。
sql注入?
难度系数太大不敢靠近。
木马、社工、入侵、远控……不断挑动你的神经,斗志全无却又激进向往。
刹下车,有兴趣的深入。网络小白,但做基础了解即可。
领取专属 10元无门槛券
私享最新 技术干货