为何大公司不喜欢用第三方框架？难道是由于……

最近针对数据库的爆库事件愈来愈多，不管是我的开发者仍是企业主，都面临着一丝丝的风险，并且不少人尚未具体的安全意识，给了黑客有了可乘之机，对于企业而言，可能意外着一场金钱灾难。

一些企业就算被恶意攻破服务器，也不肯意公开或被人发现，由于对于企业而言，至关于信用值降到了最低，若是公开信息那不就等于告诉别人自家的安全防御不靠谱，因此若是某些公司被GP后，交点钱也不会公开或者报案，给了某些不法分子可乘之机。

而对于我的创业者而言，这有点苦不堪言，除了时间精力上的困扰，还有金钱上的头疼，毕竟你要加防云服务器和高防策略，，每月须要消费的费用都是不低的，对于创业者来讲，金钱就是命脉，有点苦逼，下次咱们来聊聊如何追踪到攻击者的源头，这将是有点技术含量的学习篇。

扯得有点远了，回到今天的主题—— 爆库 ，在黑客的圈子其实叫作“拖库”，是指将网站的数据库被黑客下载到本地。爆库其实很早就存在，但此次众多大型网站的接连爆库，引发了互联网上不小的轰动，某后花园已经炸开了锅通常。

这就是为何大公司的平台都不喜欢用第三方框架的缘由了，所以咱们有必要了解下，黑客一般都是经过什么样的方式来作到这些呢？：

1. 远程下载数据库文件：这种拖库方式的利用主要是因为管理员缺少安全意识，在作数据库备份或是为了方便数据转移，将数据库文件直接放到了Web目录下，而web目录是没有权限控制的，任何人均可以访问的；还有就是网站使用了一些开源程序，没有修改默认的数据库；其实黑客天天都会利用扫描工具对各大网站进行疯狂的扫描，当你的备份的文件名若是落在黑客的字典里，就很容易被扫描扫描到，从而被黑客下载到本地。
2. 利用Web应用漏洞拖库：随着开源项目的成熟发展，各类web开源应用，开源开发框架的出现，不少初创的公司为了减小开发成本，都会直接引入了那些开源的应用，但却并不会关心其后续的安全性，而黑客们在知道目标代码后，却会对其进行深刻的分析和研究，当高危的零日漏洞发现时，这些网站就会遭到拖库的危险。
3. 利用Web服务器(Apache,IIS,Tomcat等)漏洞拖库：Web安全其实是Web应用和Web服务器安全的结合体；而Web服务器的安全则是由Web容器和系统安全两部分组成，系统安全一般会经过外加防火墙和屏蔽对外服务端口进行处理，但Web容器倒是必须对外开发，所以若是Web容器爆出漏洞的时候，网站也会遭到拖库的危险。
4. 利用网站挂马拖库：黑客会利用软件或系统漏洞，在特定的网站上进行挂马，若是网站管理员在维护系统的时候不当心访问到这些网站，在没有打补丁的前提下，就会被植入木马，也会引起后续的拖库风险。
5. 传播恶意文件拖库 ：黑客会利用一些免杀的木马，并将其和一些管理员经常使用的软件绑定，而后在网上进行传播，而当网站管理员下载运行后，也会致使服务器植入木马，引起后续的拖库风险。
6. 内部人员泄漏数据库 ：固然，也会有一些网站管理员经不起金钱的诱惑，将其维护的网站数据库进行兜售
7. 社工网站管理员： 对目标网站的管理员进行工程学手段，获取到一些敏感后台的用户名和密码，从而引起的后续拖ku。
8. 利用网站钓鱼：有时黑客也会为了获取某一些网站的账号信息，他们会利用网站钓鱼的手段去欺骗用户主动输入，但这种方式只能获取部分账号的真实信息，并无入侵服务器。

一般爆的话是先用工具扫描几遍服务器，若是爆破成功，会根据环境在服务器内植入多个远程控制木马，而后成为他们的跳板，一般会偷偷建立多个管理员，至关于配备了大门的钥匙，随时进出，但当时是不会操做什么的，因此一般很难监测到，不少存储用户数据的信息的公司天天都会被各类攻击手段攻击，若是外泄，企业除了面临失信危机，还有可能面临法律上的风险。

今天咱们先了解一下简单的BK方式。

爆库的方式有多种多样，常见的BK的方法有：3CKU，%5c，conn.asp，ddos，DNS串爆等等，高级一点的有DouX，Ket2，LX2等等…

咱们拿几个网站来测试了解下它们的安全防御是如何，不少网站是不修改默认数据库和端口，因此用挖掘鸡几乎能够找到网站该有的漏洞，获得结果以下：

某论坛网站：
结果：bbs1.mbd、bbs2.mbd
所在目录组：/temp、/data、/databackup、
某投票网站漏洞：
文件名：toupiao.asp、about.asp
目录组：/wishdb、/toupiao、/backup
如愿以偿，咱们获得了想要的结果。

以上爆库漏洞原理：这种类型网站比较简单，爆库通常加%5c或者inc，让系统调用数据时出现错误，而后返回数据库提示调用数据出现错误，错误数据里面通常含有数据库的绝对路径。把网址最后一个斜杠（/）改为%5c，最后在报错里会有正确路径。

切记及时打上补丁，修复高危漏洞，并采用高强度密码和口令，中止没有使用的端口。

---

做者：奥特曼超人Dujinyang

来源：CSDN

原文：dujinyang.blog.csdn.net/