违规提示

请您遵循相关法律法规,避免再次出现类似问题

如有任何疑问,请联系support@tmtpost.com

关闭
第五课:企业遭遇黑客的原罪——漏洞
张雪松 / 探索企业遭遇黑客的原罪
第五课:企业遭遇黑客的原罪——漏洞

第五课:企业遭遇黑客的原罪——漏洞

小欣:这节课,张雪松老师会为我们讲解企业遭遇黑客的原罪:漏洞。

张雪松:黑客是一项复杂的技术,更多的是一种思维模式和技术手段的结合。黑客在进行一次入侵和攻击时实际上在做非常多的事情,当然这些事情是有些最本质的核心点的。

我们可以发现,在这个过程的核心环节是什么?那就是去寻找漏洞。因为黑客的技术就是嫁接在漏洞之上,如果说你没有漏洞那黑客就很难去发挥。黑客所有的思维模式都是去找漏洞,利用这些漏洞来实现更多的权限、实现更多的黑客手段。我们就拿几个点来讲。

管理漏洞。这个可以非常简单的理解就是企业的管理,包括人员的漏洞。这里有一个最经典的攻击方式就是客服攻击。因为有很多网站提供客服人工的申诉,比如说:我要修改密码但密码忘记了,手机也找不到了,我要申诉。

而这个时候就要对客服进行社会工程学的攻击,黑客通过收集大量被攻击者的信息利用社会工程学的方法,让客服把目标账号的密码给重置从而获得重要的账号。

逻辑漏洞。我们很多的网站有支付功能,在支付流程中网站需要进行多次确认。如果网站开发时没有很完备的流程设计和审计,这时黑客把数据包改一下,前面下订单的时候是99元支付的时候只需1块钱就支付成功了,这样就产生了逻辑漏洞,也就是最经典的1元买iphone的漏洞。

提权漏洞。这类漏洞也很常见。黑客可以利用系统机制,获取到系统管理员的权限,这时就可以对系统进行最高级别的命令执行,从而下载数据库或植入木马。

防护漏洞。这类漏洞是大家经常会遗忘的,就是我们所用的这些防火墙、安全设备或者说安全方案,其实里面也是有漏洞的,黑客也可以利用这些漏洞进行入侵。越是我们信任的环节往往造成的危害越大。

我们综合来看黑客在进行攻击的时候,最核心的目标是什么?他就是去寻找你所有的漏洞,把所有的相关信息收集起来,然后做成一个作战地图,根据这张作战地图去分析你在整个数据保护、信息架构等层面存在的漏洞。

然后会根据这些漏洞进行尝试,当然这些漏洞有技术上的漏洞,也有思维上的漏洞,还有相关流程和规则上的漏洞,只要黑客足够有耐心,就能确保可以攻陷系统。

小欣:下节课,张雪松老师会为我们讲解漏洞产生的原因。

【版权归钛媒体所有,未经许可不得转载】

分享课程:
大家都在学
72问 有声书系列 / 中国经济2021
精品小课 揭秘黄金投资:2022年以来上涨表现最好的资产之一
精品小课 阿里人力资源体系课

Oh! no

您是否确认要删除该条评论吗?

全部课程 ( 7 )
倒序播放

00:00
/
00:00
X1.0

注册邮箱未验证

我们已向下方邮箱发送了验证邮件,请查收并按提示验证您的邮箱。

如果您没有收到邮件,请留意垃圾邮件箱。

更换邮箱

您当前使用的邮箱可能无法接收验证邮件,建议您更换邮箱

账号合并

经检测,你是“钛媒体”和“商业价值”的注册用户。现在,我们对两个产品因进行整合,需要您选择一个账号用来登录。无论您选择哪个账号,两个账号的原有信息都会合并在一起。对于给您造成的不便,我们深感歉意。

Baidu
map