爲何大公司不喜歡用第三方框架？難道是由於……

最近針對數據庫的爆庫事件愈來愈多，不管是我的開發者仍是企業主，都面臨着一絲絲的風險，並且不少人尚未具體的安全意識，給了黑客有了可乘之機，對於企業而言，可能意外着一場金錢災難。

一些企業就算被惡意攻破服務器，也不肯意公開或被人發現，由於對於企業而言，至關於信用值降到了最低，若是公開信息那不就等於告訴別人自家的安全防禦不靠譜，因此若是某些公司被GP後，交點錢也不會公開或者報案，給了某些不法分子可乘之機。

而對於我的創業者而言，這有點苦不堪言，除了時間精力上的困擾，還有金錢上的頭疼，畢竟你要加防雲服務器和高防策略，，每月須要消費的費用都是不低的，對於創業者來講，金錢就是命脈，有點苦逼，下次咱們來聊聊如何追蹤到攻擊者的源頭，這將是有點技術含量的學習篇。

扯得有點遠了，回到今天的主題—— 爆庫 ，在黑客的圈子其實叫作「拖庫」，是指將網站的數據庫被黑客下載到本地。爆庫其實很早就存在，但此次衆多大型網站的接連爆庫，引發了互聯網上不小的轟動，某後花園已經炸開了鍋通常。

這就是爲何大公司的平臺都不喜歡用第三方框架的緣由了，所以咱們有必要了解下，黑客一般都是經過什麼樣的方式來作到這些呢？：

1. 遠程下載數據庫文件：這種拖庫方式的利用主要是因爲管理員缺少安全意識，在作數據庫備份或是爲了方便數據轉移，將數據庫文件直接放到了Web目錄下，而web目錄是沒有權限控制的，任何人均可以訪問的；還有就是網站使用了一些開源程序，沒有修改默認的數據庫；其實黑客天天都會利用掃描工具對各大網站進行瘋狂的掃描，當你的備份的文件名若是落在黑客的字典裏，就很容易被掃描掃描到，從而被黑客下載到本地。
2. 利用Web應用漏洞拖庫：隨着開源項目的成熟發展，各類web開源應用，開源開發框架的出現，不少初創的公司爲了減小開發成本，都會直接引入了那些開源的應用，但卻並不會關心其後續的安全性，而黑客們在知道目標代碼後，卻會對其進行深刻的分析和研究，當高危的零日漏洞發現時，這些網站就會遭到拖庫的危險。
3. 利用Web服務器(Apache,IIS,Tomcat等)漏洞拖庫：Web安全其實是Web應用和Web服務器安全的結合體；而Web服務器的安全則是由Web容器和系統安全兩部分組成，系統安全一般會經過外加防火牆和屏蔽對外服務端口進行處理，但Web容器倒是必須對外開發，所以若是Web容器爆出漏洞的時候，網站也會遭到拖庫的危險。
4. 利用網站掛馬拖庫：黑客會利用軟件或系統漏洞，在特定的網站上進行掛馬，若是網站管理員在維護系統的時候不當心訪問到這些網站，在沒有打補丁的前提下，就會被植入木馬，也會引起後續的拖庫風險。
5. 傳播惡意文件拖庫 ：黑客會利用一些免殺的木馬，並將其和一些管理員經常使用的軟件綁定，而後在網上進行傳播，而當網站管理員下載運行後，也會致使服務器植入木馬，引起後續的拖庫風險。
6. 內部人員泄漏數據庫 ：固然，也會有一些網站管理員經不起金錢的誘惑，將其維護的網站數據庫進行兜售
7. 社工網站管理員： 對目標網站的管理員進行工程學手段，獲取到一些敏感後臺的用戶名和密碼，從而引起的後續拖ku。
8. 利用網站釣魚：有時黑客也會爲了獲取某一些網站的賬號信息，他們會利用網站釣魚的手段去欺騙用戶主動輸入，但這種方式只能獲取部分賬號的真實信息，並無入侵服務器。

一般爆的話是先用工具掃描幾遍服務器，若是爆破成功，會根據環境在服務器內植入多個遠程控制木馬，而後成爲他們的跳板，一般會偷偷建立多個管理員，至關於配備了大門的鑰匙，隨時進出，但當時是不會操做什麼的，因此一般很難監測到，不少存儲用戶數據的信息的公司天天都會被各類攻擊手段攻擊，若是外泄，企業除了面臨失信危機，還有可能面臨法律上的風險。

今天咱們先了解一下簡單的BK方式。

爆庫的方式有多種多樣，常見的BK的方法有：3CKU，%5c，conn.asp，ddos，DNS串爆等等，高級一點的有DouX，Ket2，LX2等等…

咱們拿幾個網站來測試瞭解下它們的安全防禦是如何，不少網站是不修改默認數據庫和端口，因此用挖掘雞幾乎能夠找到網站該有的漏洞，獲得結果以下：

某論壇網站：
結果：bbs1.mbd、bbs2.mbd
所在目錄組：/temp、/data、/databackup、
某投票網站漏洞：
文件名：toupiao.asp、about.asp
目錄組：/wishdb、/toupiao、/backup
如願以償，咱們獲得了想要的結果。

以上爆庫漏洞原理：這種類型網站比較簡單，爆庫通常加%5c或者inc，讓系統調用數據時出現錯誤，而後返回數據庫提示調用數據出現錯誤，錯誤數據裏面通常含有數據庫的絕對路徑。把網址最後一個斜槓（/）改爲%5c，最後在報錯裏會有正確路徑。

切記及時打上補丁，修復高危漏洞，並採用高強度密碼和口令，中止沒有使用的端口。

---

做者：奧特曼超人Dujinyang

來源：CSDN

原文：dujinyang.blog.csdn.net/