国产高清无码在线播放,最新日韩无码av

第五課：企業(yè)遭遇黑客的原罪——漏洞

張雪松 / 探索企業(yè)遭遇黑客的原罪

第五課：企業(yè)遭遇黑客的原罪——漏洞

小欣：這節(jié)課，張雪松老師會為我們講解企業(yè)遭遇黑客的原罪：漏洞。

張雪松：黑客是一項復雜的技術，更多的是一種思維模式和技術手段的結合。黑客在進行一次入侵和攻擊時實際上在做非常多的事情，當然這些事情是有些最本質的核心點的。

我們可以發(fā)現(xiàn)，在這個過程的核心環(huán)節(jié)是什么？那就是去尋找漏洞。因為黑客的技術就是嫁接在漏洞之上，如果說你沒有漏洞那黑客就很難去發(fā)揮。黑客所有的思維模式都是去找漏洞，利用這些漏洞來實現(xiàn)更多的權限、實現(xiàn)更多的黑客手段。我們就拿幾個點來講。

管理漏洞。這個可以非常簡單的理解就是企業(yè)的管理，包括人員的漏洞。這里有一個最經(jīng)典的攻擊方式就是客服攻擊。因為有很多網(wǎng)站提供客服人工的申訴，比如說：我要修改密碼但密碼忘記了，手機也找不到了，我要申訴。

而這個時候就要對客服進行社會工程學的攻擊，黑客通過收集大量被攻擊者的信息利用社會工程學的方法，讓客服把目標賬號的密碼給重置從而獲得重要的賬號。

邏輯漏洞。我們很多的網(wǎng)站有支付功能，在支付流程中網(wǎng)站需要進行多次確認。如果網(wǎng)站開發(fā)時沒有很完備的流程設計和審計，這時黑客把數(shù)據(jù)包改一下，前面下訂單的時候是99元支付的時候只需1塊錢就支付成功了，這樣就產(chǎn)生了邏輯漏洞，也就是最經(jīng)典的1元買iphone的漏洞。

提權漏洞。這類漏洞也很常見。黑客可以利用系統(tǒng)機制，獲取到系統(tǒng)管理員的權限，這時就可以對系統(tǒng)進行最高級別的命令執(zhí)行，從而下載數(shù)據(jù)庫或植入木馬。

防護漏洞。這類漏洞是大家經(jīng)常會遺忘的，就是我們所用的這些防火墻、安全設備或者說安全方案，其實里面也是有漏洞的，黑客也可以利用這些漏洞進行入侵。越是我們信任的環(huán)節(jié)往往造成的危害越大。

我們綜合來看黑客在進行攻擊的時候，最核心的目標是什么？他就是去尋找你所有的漏洞，把所有的相關信息收集起來，然后做成一個作戰(zhàn)地圖，根據(jù)這張作戰(zhàn)地圖去分析你在整個數(shù)據(jù)保護、信息架構等層面存在的漏洞。

然后會根據(jù)這些漏洞進行嘗試，當然這些漏洞有技術上的漏洞，也有思維上的漏洞，還有相關流程和規(guī)則上的漏洞，只要黑客足夠有耐心，就能確?？梢怨ハ菹到y(tǒng)。

小欣：下節(jié)課，張雪松老師會為我們講解漏洞產(chǎn)生的原因。

【版權歸鈦媒體所有，未經(jīng)許可不得轉載】