网站地图    收藏   

主页 > 后端 > 网站安全 >

一个黑客对主流外贸B2C网站系统攻防的说道(一

来源:自学PHP网    时间:2015-04-17 13:03 作者: 阅读:

[导读] 很多人对黑客既向往,又害怕,特别是个人站长,其实害怕是多余的,黑客大多是有原则的(没有原则的大多拿不了你的站。),价值也是他们看重的。先介绍下自己,男,25,二个月前...

很多人对黑客既向往,又害怕,特别是个人站长,其实害怕是多余的,黑客大多是有原则的(没有原则的大多拿不了你的站。),价值也是他们看重的。
 
先介绍下自己,男,25,二个月前是一家加拿大Promo企业的项目Manager,元旦过后即辞职开始做外贸B2C,个人业余时间喜欢到黑客论坛串门,也偶尔和一帮朋友对老外的站胡来,纯属恶作剧。。
 
简单的说吧,目前国内黑客分三类:
 
1. 工具黑客,,就是那些盗QQ的,盗游戏帐号的,上网下载几个马儿,按步骤下套,或者到网吧上种几台机子,,然后用个黑客工具抓鸡,甚至连最基本的暴力破解都困难,这些人更不知道怎么侵入Website。。。
 
2. 入门黑客,,除了熟练使用一些基本工具,如 啊D注入,老兵,名小子,IE浏览器抓包,MD5猜码,也懂的一些linux .net server知识,并开始深入分析研究Fluxay扫出来的漏洞,Google hacking解决方案,这些人对一般网站系统侵入是绰绰有余的,比较危险。。。
 
2.1----- 不才,我在这里----
 
3. 进阶黑客,,自制黑客工具的那种,技术未知,软件硬件都来,(这些人通常从小接触电脑,低调,现实中可能是一个国企小职员,呵呵,我一个朋友就是这样的人)
 
OK,回到正题!!
 
目前外贸B2C网站主流的是三个系统,Oscommerce,ZenCart,Magento。
Ps. 像国内开发的如 网趣,ecshop,xpshop,**科技公司,ASP站都不要拿上来(做B2C尽量用PHP吧,,,),真的,很多站不用半个小时我拿一个,扫一下很多注入漏洞。
 
这里就先拿最流行的Zen cart延展开来说事吧,,,习惯了以CASE的形式来叙述本质,可是很多漏洞思路一公开,又很容易被人利用,挂黑链,图片,客户数据打包,隐藏支付转跳,哎...我不属于那种会说道的人,说的不好还请海涵。。。
 
其实就三个事:路径问题,重要文件夹的权限问题,简单密码问题,,,,
 
CASE I
 
很多莆田公司表面上是做SEO建站服务的,其实赚钱的都是靠仿站,一些公司会流出或者出售一些Zen cart 模板,我曾经买过一套板子,读取admin\includes\configure.php 这个文件时,有意识的试了下它留下的SQL地址,竟然是存在的,密码是改了,可是留下了很多密码片段(怎么获得这些我就不讲了)我用MD5破解了然后逐个试,进入了它的SQL,后果很严重,可是我没做坏事,只是下载了几套。。(不要喷我,这是我后来告诉他们管理员漏洞的奖赏。)
 
PS. 网上流传几个可以读取SQL Password信息的漏洞,其中一个/extras/ipn_test_return.php 可以返回网站配置信息的最直接,,不过好像很多站长不重视。。
 
CASE II
 
- /zc_install,我曾经拿一个老外的站侵入测试,扫了好久,倒是找出了漏洞,但是很难利用起来,要表扬下老外那改死的.htaccess文件,哈哈。后来尝试旁站,thank god,同一VPS有四个站,于是一个个查漏洞,其中一个站随意用弱密码变换路径,当键入-/zc_install33的时候,一个安装界面出现了,呵呵,
重新安装程序,覆盖原zen文件,Pic传小马,拿shell,LOL(其实有个小插曲,重新安装-/includes/configure.php= 权限有限Unwriteable,当然肯定被我解决了,嘿嘿)
 
漏洞时时有,案例就不举多了,,给一些建议吧,,
 
1. 网上下载的一些模板最好先用杀毒软件过一遍,防止很多无良编写者都留有一句话后门。
 
2. 插件尽量少安装,就算要用,也要到权威网站下载,其实就外贸B2C站来说,基本功能实现了就可以了,我一个朋友的站都很难看,可是人家照样一个站每天二三十单的出,反而那些花花哨哨的站都没单
 
3. 经常检查/images文件夹,清除一切打不开的pic(木马伪装)
 
4. .htaccess 书写非常重要(怎么写网上很多),你做好这步,60%的hacker对你没法了,,
 
5. 严格限制几个重要文件/文件夹的权限,,configure.php,images,html_includes,,哪怕要用的时候再改回来
 
6. 至少也要用个VPS建站。空间建站的话旁站入侵是一个很常用的手法,进一站,进百站。就算你用VPS,也要对VPS上的每个站的建立都小心,《zen cart 安全建站六步》网上都有,每一步都不能漏下。
 
《一个黑客对主流外贸B2C网站系统攻防的说道(二)》有时间再深入的多谈一点吧,希望对大家有帮助。谢谢!

作者 xssxss.com

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论