为什么要做渗透测试？

对一家企业，特别是中大型互联网企业来说，网站被入侵导致用户无法正常访问，可谓始终悬在很多企业运维人员头上的一把“利刃”。

据澎湃新闻报道，日前江苏南京中级人民法院就审结了这样一起黑客入侵案件：

4名90后组成黑客团伙，靠渗透入侵网站后给网站植入非法赌博网站，不到一年就赚取非法“广告费”50多万元。

期间多次攻击政府网站留下痕迹，被公安机关顺藤摸瓜，抓获归案。

所以今天“我”就来带大家了解一下，网络黑客是如何入侵网站的。

一方面帮大家做到知己知彼，另一方面大家也可以对照检测一下，自家的网站安全措施是否真的已经固若金汤。

总体来说，网络黑客入侵网站的方法通常有许多种，最普遍的操作流程大致包含以下几个步骤：

1.信息搜集

①Whois信息查询，得到注册人、电话、邮箱、DNS、地址。

②Google hack搜索收集到网站的敏感目录、敏感文件等更多信息。

③服务器IP配合Nmap扫描，搜集网络端口对应的服务、C段。

④Bing查询、脚本工具完成旁注（从旁注入）操作。

⑤如果遇到CDN--Cloudflare（绕过），从子域入手（mail，postfix）、DNS传送域漏洞。

⑥服务器、组件（指纹）--操作系统、web server（apache，nginx，iis）、脚本语言。

通过信息收集阶段，网络黑客基本上已经能够获取到网站的绝大部分信息，当然这只是网站入侵的第一步。

2.漏洞挖掘

①探测Web应用指纹--Discuz、PHPwind、Dedecms、Ecshop...

② XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含...

③上传漏洞--截断、修改、解析漏洞。

④有无验证码--进行暴力破解......

进行到这一步，网络黑客手里已经掌握了你网站的大量信息以及不大不小的漏洞若干，下一步他们便会开始利用这些漏洞获取网站权限。

3.漏洞利用

①思考目的性--达到什么样的效果。

②隐藏，破坏性--根据探测到的应用指纹寻找对应的EXP攻击载荷或者自己编写。

③开始漏洞攻击，获取相应权限，根据场景不同变化思路拿到webshell。

4.权限提升

①根据服务器类型选择不同的攻击载荷进行权限提升。

②无法进行权限提升，结合获取的资料开始密码猜解，回溯信息收集。

5.植入后门

①保证隐蔽性。

②定期查看并更新，保持周期性。

6.日志清理

①伪装性，隐蔽性，为避免激警，他们通常选择删除指定日志。

②根据时间段，find相应日志文件......、

以上还属于网络黑客们最普遍或者说最低级的入侵步骤。

如果遇到更加来着不善的网络攻击者，直接给网站植入赌博网站或最近高发的比特币勒索软件，后果就更不堪设想了。

那么，企业如何有效防止网络黑客们的恶意渗透和入侵呢？

1.定期自检自查

网站运营者需要定期检测、扫描网站后台程序，及时发现不明权限的变动，并清除陌生挂马程序。

当然这需要对应的技术和工具支持，并且可谓耗时耗力的“持久战”。

2.给企业网站系统做渗透测试

这里所说的渗透测试，是网络安全产品的一种，就是利用模拟网络黑客攻击的方式，来评估网站系统安全性能。

让企业自身比网络黑客更早发现可导致企业数据泄露、资产受损、数据被篡改等漏洞，并协助企业进行防御性修复。

通俗点儿说，就请最懂黑客技术的“白色黑客”（也成为“白帽子”）来模拟入侵、攻击网站的过程。

从中挖掘网站安全漏洞，分析漏洞修复方案，并评估漏洞修复结果。

通过进行渗透测试，企业运营者能够尽早发现、修复网站开发、运营过程中很多难以控制、难以发现的隐形安全问题，尽可能将网络安全风险降低在可控范围内，从而最大限度地降低网络安全威胁，避免企业业务损失。

与此同时，2017年6月1日正式实施的《中华人民共和国网络安全法》中明确要求：

关键信息基础设施运营者（如关键信息基础设施运营商）应当自行或委托网络安全服务机构对其网络安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

并在法律责任部分明确提到若不履行这些规定，则由有关主管部门责令整改、给予警告；拒不改正或导致危害网络安全等后果的，处十万元以上一百万元以下罚款，而且还对直接负责的主管人员除以一万元以上、十万元以下罚款。

定期检测评估网络安全系统早已不再是企业“自己的事儿”，更是法律规定的责任和义务。