防范措施总结
通过本篇攻击系列文章,我们得出以下信息安全防范总结:
- 敏感信息和测试信息避免在前端代码和源码中展示。
- 加密算法使用强加密算法,如RSA、3DES和AES,避免使用弱加密算法如base64和MD5。
- SSH设置登录次数限制和加强密码复杂度,要求包括大小写字母、数字和特殊字符,避免使用跟公司单位挂钩的密码组合。
- 对于任意文件读取漏洞,应过滤非法字符并配置用户输入白名单。
- 计划任务的执行文件不能为root所创建,并且其他用户不应具有可写权限。
攻击思路描述
下面是我们的攻击思路描述:
- 信息收集:
- 对目标IP进行端口扫描,探测开放的端口及应用,目标主机开放了22端口和80端口。
- 从80端口(web服务)入手,进行目录扫描,发现可用目录,进入web应用中去测试信息泄露和其他web漏洞。
- 根据信息泄露和文件读取漏洞所发现的信息,后续进行字典的构造,再去爆破22端口的ssh密码。最终拿到用户名密码,进入目标主机拿下第一个根据点。
- 提权:
- 使用计划任务反弹shell拿到root权限。
需要注意的是,攻击手段都是基于信息收集的,采取相应操作,得到一些结果,再基于这些结果线索,采取下一步操作,在行业内都称为信息收集。
原创文章,作者:小编小本本,如若转载,请注明出处:https://www.benjiyun.com/yunzhujiyunwei/vps-yunwei/5885.html
相关推荐
-
XtraBackup流备份
Percona XtraBackup(PXB)简介 Percona XtraBackup(简称PXB)是一种MySQL物理热备工具,被广泛使用且完全开源。该软件提供了各种有用的功能…
-
chemex容器化部署
咖啡壶Chemex介绍 咖啡壶(Chemex)是一个轻量的、现代设计风格的ICT资产管理系统。得益于Laravel框架以及DcatAdmin开发平台,使其具备了优雅、简洁的优秀体验…
-
「Nginx配置大全」:高效配置Nginx服务器,优化网站性能(附:详细配置步骤)
介绍 Nginx是一个轻量级的Web服务器软件,目前已广泛应用于各类大型网站和应用的服务器配置中。本文将介绍Nginx的基本配置和优化方案,帮助读者更好地使用Nginx服务器。 安…
-
redis磁盘故障分析经验
小本本的经验分享 在生产环境中,一个redis数据库服务器的ssd盘出现故障,导致redis实例宕掉,给整个集群带来了影响,下面小本本将给大家分享一些处理故障的经验。 故障分析与解…
-
电子商务四种物流模式(电子商务的物流模式有哪些?)
电子商务的物流模式有哪些? 作为本际云服务器推荐网的小编小本本,今天给大家介绍一下电子商务的物流模式。电子商务的物流模式可以分为以下四种: 一、平台整合物流资源模式 该模式通过智能…
-
Redis缓存风险:如何避免缓存雪崩、缓存穿透和缓存击穿?
Redis缓存是当今互联网开发中使用最广泛的缓存系统之一。但是,使用Redis缓存时,有三种重要的风险需要注意——缓存雪崩、缓存穿透和缓存击穿。 什么是缓存雪崩? 缓存雪崩指的是同…
-
日本物流公司有哪些(esr物流公司全称?)
ESR物流公司介绍 本文介绍的是上海益商仓储服务有限公司,即ESR物流公司。ESR是总部位于香港的物流地产平台,在亚太各主要经济体都有现代物流及工业设施管理和开发,为租户提供广泛的…
-
对象存储有哪些用处?
对象存储的灵活性及适用场景 作为本际云服务器推荐网的小编小本本,我想向大家介绍一下对象存储。对象存储是一个非常灵活的解决方案,它适用于多种数据存储场景。 对象存储的用处 对象存储有…
-
文章彻底搞懂Python类属性和方法的开启
Python中类与对象的概述 Pytho是一种面向对象的语言,此文介绍了Python类的属性和方法的开放方式。 Python中的类定义和对象实例化都非常简单,类是数据和行为的封装体…
-
Nginx支持哪些编程语言?
介绍 Nginx是一个快速且可靠的Web服务器程序,它有一个重要的优点——它的模块化结构使得它可以轻松地支持不同类型的应用程序和编程语言。在本文中,我们将探讨Nginx对哪些编程语…