大部分网站容易被入侵吗?(2)

　　第一个小故事

　　之所以能有兴趣写下这么大篇幅内容源于上周末，有幸认识了一位小哥，搞开发的。当时他问我：“Evi1m0，你说的博客安全不安全，能帮我测试一下吗?”

　　我们相识在源头是因为我们两人博客使用的同一套系统--Typecho。刚下载好这套系统的时候我便简单的进行了一次白盒审计，刚好捡到两个0day(未公布的漏洞)。所以我对他“意味深长”的说：黑你博客，分分钟。 当然只是逗逗他，最后我告诉他了这么自信的原因。

　　过了会儿，他便找我测试他最近写的一套博客系统，程序也还算简单，一顿黑盒测试后只发现了1个SQLinjection，有趣的是我发现他数据库竟然使用的ROOT权限!?结果很简单的拿到了网站权限，解开HASH之后我获取到了他常用的密码，然后我做了什么?

　　查询网站里面所有关于config的相关隐私信息

　　获取服务器(Linux)的ROOT权限

　　密码猜解，登陆他主博客的后台

　　去年5月份的时候我写过一篇文章《剖析隐私安全的奥秘》，文中便提到过个人使用不同的密码其实不会超过3-5种，阅读这篇全文请移步到：Worm.cc

　　于是很简单的，我便完成了这次“入侵”，事后他感叹自己的安全意识竟如此薄弱，网站竟然如此不堪一击。

　　另外一个小故事

　　很久之前“L”发邮件要我协助他搞某酒店，那时还没有2000W酒店数据库泄露事件这回事，信息收集前戏他自己就已经单干了两个月，这些我后来才知道，不得不佩服他的耐心。

　　拥有了这些信息后我便开始和他配合伪造成对方公司职员接触一些公司员工以便更快的获取有价值的东西，当然这种方法大家也许都应该知道--社会工程学。

　　记忆尤深的是最后防线OA系统迟迟无法突破，让我吃惊的是他竟在公司接待厅里搭起WIFI开始钓鱼，一晃就是两天，最终他成功拿下了客服经理的OA账号密码。就在这整整半年期间，他和这公司某妹子拍拖成功，虽然后来分手了：)

　　从一个弱口令开始，到分站沦陷再到密码猜解到主站沦陷，全部服务器开始成为肉鸡。权限在他手上一直持有了2年多，13年底的时候“L”与我Mail称：“They are the idiot!?后门竟然还没清理”，同时留下了一张图：

　　为什么他非要弄到全部的服务器权限，其实并不是因为什么开房数据库，只是因为他和我有过一场小小的赌注。

　　仔细想想我们的安全意识究竟够不够高?不要总是说：“我的网站很安全!我用的是Discuz!我用的是最贵的服务!没人能黑!”，借用我之前文中的一句话：“你只是目前还没有价值被黑!”。

　　就算程序上没有漏洞安全问题，人性的弱点仍然是一个值得深思的点，很多经典案例都来自于人性的弱点，不了解的可以查看百度百科(社会工程学)，虽然我一直扬言称拿科普来改变大家的安全观，可是你们不入戏啊，自己高潮可真无趣。

　　哦，对了，这些故事都是我竭尽脑汁编出来的。

　　-------

　　被黑网站背后的故事

　　我所被黑的故事

　　我曾经也是这种想法，网站怎么可能会被黑呢?Linux权限做的那么死，除非网站系统出现漏洞，不然谁能入侵它!?

　　当时我所创立的邪红色信息安全团队还算火热，有不少黑/白帽子想涂鸦主页(入侵篡改)，记得是一个悠闲的下午，刚从咖啡厅出来接到团队成员打过来的电话称团队网站被黑了!

　　Oh shit!真有趣，被黑的切入点竟然来源于服务器上朋友临时搭建的测试站点，他测试程序的时候忘记最后删除掉了，出于懒惰后台密码就使用了最令人头疼的弱口令--admin,admin

　　真巧，这都能让那位黑客发现!显然他是有恶意的，对当时论坛进行了脱裤(数据库下载)，后来朋友对这事儿仍然耿耿于怀。常在河边走，哪能不湿鞋?

　　朋友被黑的故事

　　和我同在知道创宇公司 @余弦 的博客在12年底的时候也被黑过，不必太惊讶。

　　下面内容来自他当时的文章：

　　2012年11月21，早7点，我发现我的博客被黑了，如封面这张图，说：“i'm sure your site have no xss by the venus hacker”，这英语很有chinese范，我当然不相信谁会用XSS来攻击我用WordPress搭建的博客系统，这年头WordPress的高质量 XSS不容易得到，我很快就想到了我是怎么被黑的了，洗漱完后，打开电脑开始排查：

原文转自：http://wang186.cn/post-286.html