存在弱口令administrator_电脑系统存在弱口令

2024-07-14 16:20:33

1.MSSQL系统安全之SA弱口令带来的安全隐患

2.渗透测试工具的通用漏洞检测

3.电脑被远程控制怎么办、

4.WWW弱口令怎么利用

存在弱口令administrator_电脑系统存在弱口令

是不是想利用3389端口漏洞入侵别人电脑呀。呵呵，你这个小菜，什么都不懂，还想当黑客。

让我给你解释一下吧~~~~~`

3389的肉鸡现在已经很少了，那是在电脑普遍都是2000的操作系统的时候才有的。但是现在电脑都是XP的了，XP的操作系统比2000的安全性要高，微软已经把这个漏洞补上了，所以你扫描到的这个空口令漏洞的电脑你不能入侵。所以电脑会提示你：“因为账户限制，不能连接。”

现在3389肉鸡很少了，只能碰运气。如果你扫描到2000的电脑，你可以试试用户名：ADMIN，密码：123456 之类的弱口令。

如果是XP的的系统你可以试试用户名：new 密码：空。

不过告诉你，就算你碰运气进入了对方电脑，过了几秒钟你还是要被关掉的。因为这个入侵的方法太傻瓜化了，对方系统自带的防火墙就把你给断开了。

相当黑客好好学吧，呵呵 ~~~~

其实你这个问题我也一直在研究，怎么找到突破方法。想了很长时间。唉，如果他电脑即开了3389端口，又开了139端口的话，那么到是又一种方法，比你直接远程桌面连接更隐蔽。就是用ADMINISRTATOR用户名直接通过CMD远程连接他电脑，密码为“空”。然后用一些简单的DOS命令，在他电脑商远程执行一些命令，如把对方C盘开为共享，然后把我们的木马（最好是免杀的）直接上传到他C盘上，然后在利用DOS远程执行此木马文件就行了。

哈哈，当黑客好呀，只是别给中国的电脑搞破坏，美国的网站或电脑还可以用来搞一搞吗~~~~ (*^__^*) 嘻嘻…… 如果有兴趣，学学网站入侵，这个有点技术含量。入侵PC~，靠，太没水平。以后有了技术，天天入侵美国网站，然后把中国国旗挂在它网站主页上，让他美国人在整天在世界上牛逼哄哄的。

MSSQL系统安全之SA弱口令带来的安全隐患

弱口令扫描操作手册

一、弱口令简介

弱口令目前没有严格和准确的定义，通常认为容易被别人猜测或被破解工具破解的口令即为弱口令。对弱口令的定义为，不满足以下五项条件之一即为弱口令：

1、口令长度应至少8位；

2、口令应包括数字、小写字母、大写字母、特殊符号4类中至少3类；

3、口令应与用户名无相关性，口令中不得包含用户名的完整字符串、大小写变位或形似变换的字符串；

4、应更换系统或设备的出厂默认口令；

5、口令设置应避免键盘排序密码；

二、弱口令类型

目前常见的弱口令类型有TELNET、SSH、SNMP、FTP、MYSQL、MSSQL、ORACL、HTTP等。其中TELNET、SSH、FTP、MYSQL、MSSQL、ORACLE、HTTP等为TCP协议，都是通过用户名+密码的形式登录；SNMP为UDP协议，通过community字符串登录即可。

三、弱口令字典

弱口令检查一般都是通过自动化工具批量进行，主要的难点在于字典的构造。通常来说，字典越大，扫描的效果就越好，但是扫描花费的时间也会越长，所以我们需要根据自己的任务紧急程度选择不同大小的字典。

移动互联网行业，拥有很多网络设备，所以我们需要结合设备本身的特性来优化字典。比如某网络设备的默认用户名是useradmin，默认密码是admin!@#$%^，此时我们就应该检查自己的用户名字典和弱口令字典中是否包含以上字符串，如果没有就应该将其加入到字典中。

四、工具介绍

硬件扫描器：绿盟RSAS

绿盟远程安全评估系统（NOCUS Remote Security Assessment System 简称：NOCUS RSAS）是国内一款常见的漏洞扫描工具，它的“口令猜测任务”模块即可对各协议进行专门的弱口令扫描。

1、 [登录扫描器，选择“新建任务”

2、选择“口令猜测任务”，并输入扫描目标（可以直接输入扫描地址，也可通过文件导入）

3、选择需要扫描的协议类型，如FTP、SSH等，然后选择需要使用的字典。

4、根据任务需求选择配置其他选项（或者保持默认配置），最后选择确定即可。

在新建任务的过程中，如果我们选择“密码字典管理”选项，还可以新建一个自己的独特字典。

l? 开源扫描器：hydra

hydra是一款开源的弱口令扫描神器，它可以在windows、linux、OSX等多个平台上运行，它支持几乎所有常见协议的弱口令扫描。

1、hydra语法

hydra[[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e ns] [-o FILE] [-tTASKS] [-M FILE [-T TASKS]] [-w TIME] [-f] [-s PORT] [-S] [-vV] server service[OPT]

-R

继续从上一次进度接着破解

-S

大写，用SSL链接

-s

小写，可通过这个参数指定非默认端口

-l

指定破解的用户，对特定用户破解

-L

指定用户名字典

-p

小写，指定密码破解，少用，一般是用密码字典

-P

大写，指定密码字典

-e

可选选项，n：空密码试探，s：使用指定用户和密码试探

-C< FILE>

使用冒号分割格式，例如“登录名:密码”来代替-L/-P参数

-M< FILE>

指定目标列表文件一行一条

-o< FILE>

指定结果输出文件

-f

在使用-M参数以后，找到第一对登录名或者密码的时候中止破解

-t< TASKS>

同时运行的线程数，默认为16

-w< TIME>

设置最大超时的时间，单位秒，默认是30s

-v/? -V

显示详细过程

server

目标ip

service

指定服务名，支持的服务和协议：telnet ftp pop3[-ntlm] imap[-ntlm] smb smbnt [s]-{head|get}-{get|post}-form? -proxy ciscocisco-enable vnc ldap2 ldap3 mssql mysql oracle-listener? postgres nntp socks5 rexec rlogin pcnfs snmprsh cvs svn icq sapr3 ssh2?smtp-auth[-ntlm] pcanywhere teamspeak sip vmauthd firebird ncp afp等等

OPT

可选项

[if !supportLists] 2、 [endif]使用范例

扫描SSH 弱口令

# hydra-L users.txt -P password.txt -t 1 -vV -e ns 192.168.1.104 ssh

-L 指定用户名字典（一行一个用户名字符串），-P指定密码字典（一行一个密码字符串），-t 指定线程数为1，-vV设置显示详细扫描过程，-e 设置使用空口令试探，最后是要扫描的IP地址和协议类型。

扫描SNMP 弱口令

#hydra-P snmppwd.txt -M ip.txt -o se.log snmp

-P 指定密码字典，-M指定目标IP文件（一行一个IP地址），-o指定结果输出文件，最后指定扫描协议SNMP。

专用扫描器：Tomcat弱口令扫描器

“Apache tomcat弱口令扫描器”是一款专用的tomcat弱口令扫描器，可以灵活的配置扫描IP、端口、用户名和字典等。

1、简单扫描整个网段

在“起始IP”中填入开始IP，在“终止IP”中填入结束IP，然后点击“添加”（可多次添加），最后点击“开始”即可。

2、高级设置：配置用户名和字典等

点击“设置”进入设置页面：

在设置页面可以导入自己的个性化“用户名”和“密码字典”，同时也可以通过文件导入要扫描的IP，配置好相关选项后，点击开始即可扫描。

专用扫描器：Burp Suite

Burp Suite是一款web渗透测试神器，可以测试SQL注入、XSS等各种漏洞，同时我们也可以使用它对WEB登录页面进行弱口令测试。

1、打开Burp Suite，配置监听端口，并在浏览器中设置代理为上述端口，如下图为8080。

2、使用浏览器打开需要测试的页面，并使用Burp Suite抓取登录请求。

3、选中请求，鼠标右键，选择“Send to Intruder”

4、在“Positions”标签下，选择需要暴力破解的字段

5、在“Payloads”标签下选择弱口令字典文件

6、点击开始攻击，通过比较应答的大小等方式获取破解成功的弱口令（此例中为password）。

渗透测试工具的通用漏洞检测

存储过程是存储在SQLServer中的预先写好的SQL语句集合，其中危险性最高的扩展存储过程就是xp_cmdshell了，它可以执行操作系统的任何指令，而SA是Microsoft SQLServer的管理员帐号，拥有最高权限，它可以执行扩展存储过程，并获得返回值，比如执行：

exec master..xp_cmdshell 'net user test 1234 /add'和exec master..xp_cmdshell 'net

localgroup administrators test /add'

这样对方的系统就被添加了一个用户名为test，密码为1234，有管理员权限的用户，如图一所示。

现在你应该明白为什么得到SA密码，就可以得到系统的最高权限了吧。而往往不少网络管理员不清楚这个情况，为自己的SA用户起了一些诸如1234，4321等简单的密码，甚至根本就不设置密码，这样网络入侵者就可以利用一些黑客工具很轻松的扫描到SA的密码，进而控制计算机。

除了xp_cmdshell，还有一些存储过程也有可能会被入侵者利用到：

1、xp_regread(这个扩展存储过程可以读取注册表指定的键里指定的值)，使用方法(得到机器名)：

DECLARE @test varchar(50)

EXEC master..xp_regread @rootkey='HKEY_LOCAL_MACHINE',

@key='system\controlset001\control\computername\computername',

@value_name='computername',

@value=@test OUTPUT

SELECT @test

2、xp_regwrite(这个扩展存储过程可以写入注册表指定的键里指定的值)，使用方法(在键HKEY_LOCAL_MACHINE\SOFTWARE\aaa\aaaValue写入bbb)：

EXEC master..xp_regwrite

@rootkey='HKEY_LOCAL_MACHINE',

@key='SOFTWARE\aaa',

@value_name='aaaValue',

@type='REG_SZ',

@value='bbb'

如果被入侵的计算机的administrator用户可以浏览注册表中的HKEY_LOCAL_MACHINE\SAM\SAM\信息，那使用 xp_regread、xp_regwrite这两个存储过程可以实现克隆administrator用户，得到管理员权限。 xp_regdeletekey、xp_regdeletevalue也会对系统带来安全隐患。

3、OLE相关的一系列存储过程，这系列的存储过程有sp_OACreate， sp_OADestroy，sp_OetErrorInfo，sp_OetProperty，sp_OAMethod， sp_OASetProperty，sp_OAStop，使用方法：

DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT

EXEC SP_OAMETHOD @shell,'run',null, 'c:\WINNT\system32\cmd.exe /c net user test

1234 /add'--

这样对方系统增加了一个用户名为test，密码为1234的用户，再执行：

DECLARE @shell INT EXEC SP_OACREATE 'wscript.shell',@shell OUTPUT

EXEC SP_OAMETHOD @shell,'run',null, 'c:\WINNT\system32\cmd.exe /c net localgroup

administrators test /add '--

用户test，被加入管理员组。

解决办法：给SA起个足够复杂的密码，使网络攻击者很难破解出来。为了保险，我们还要到在 SQLServer的查询分析器中使用存储过程sp_dropextendedproc删除xp_cmdshell等存储过程，需要时再使用 sp_addextendedproc恢复即可，具体操作可以在SQLServer中查询sp_dropextendedproc和 sp_addextendedproc的使用帮助，需要注意一点的是删除OLE相关系列的存储过程，可能会造成企业管理器中的某些功能无法使用，这里笔者不建议删除。

既然我们知道了SP_OACREATE的使用方法，那我们就可以到\WINNT \system32下找到cmd.exe，net.exe和net1.exe这三个文件，在“属性”—“安全”中把可以对他们访问的用户全部删除掉，这样就无法使用SP_OACREATE来增加系统用户了，在我们需要访问这些文件的时候再加上访问用户就可以了。

电脑被远程控制怎么办、

在获取了目标主机的操作系统、开放端口等基本信息后，通常利用通用漏洞扫描工具检测目标系统所存在的漏洞和弱口令。通用漏洞主要指操作系统本身或者安装的应用软件所存在的漏洞，通常是指缓冲区漏洞，例如MS-08-067、oracle的漏洞。由于系统开启了135、139、445、1433、1521等应用程序端口，同时没有及时安装补丁，使得外来主机可以通过相应的端口发送恶意的请求从而获取不应当获得的系统权限。　　在实际的应用中，如果防火墙做了良好的部署，则对外界展现的端口应该受到严格控制，相应的通用漏洞危害较小。但是如果没有在边界上进行良好的访问控制，则缓冲区溢出漏洞有着极其严重的威胁，会轻易被恶意用户利用获得服务器的最高权限。 X-Scan 是一款国产的漏洞扫描软件，完全免费，无需安装，由国内著名民间黑客组织“安全焦点”完成。X-Scan的功能包括：开放服务、操作系统鉴别、应用系统弱口令、IIS编码漏洞、应用漏洞检测等。

X-Scan通常被用来进行弱口令的检测，其提供的弱口令检测模块包含telnet、ftp、SQL-server、cvs、vnc、smtp、nntp、sock5、imap、pop3、rexec、NT-Server、ssh、，用字典攻击的方式，配合恰当的字典生成工具可以完成大部分常用应用软件的弱口令破解工作。X-Scan也提供漏洞检测脚本的加载方式，可以即时的更新扫描模块，同时也提供扫描结果报告功能。 Metasploit 是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。

事实上Metasploit提供的是一个通用的漏洞攻击框架，通过它可以方便的获取、开发针对漏洞的攻击。Metasploit将负载控制，编码器，无操作生成器和漏洞整合在一起，成为一种研究高危漏洞的途径，它集成了各平台上常见的溢出漏洞和流行的 shellcode ，并且不断更新。　　对于开发者来说，需要了解缓冲区溢出的原理、需要编写的漏洞详细情况、payload生成、注入点以及metasploit的漏洞编写规则。而对于普通的渗透测试人员，仅仅只需要安装metasploit，下载最新的漏洞库和shellcode，选择攻击目标，发送测试就可以完成漏洞检测工作。事实上，metasploit不仅提供漏洞检测，还可以进行实际的入侵工作。由于用入侵脚本时可能对系统造成不可预估的效果，在进行渗透测试时应当仅仅使用测试功能。

Acunetix Web Vulnerability Scanner

Acunetix Web Vulnerability Scanner是一个网站及

服务器漏洞扫描软件，它包含有收费和免费两种版本。

功能介绍：

1、AcuSensor 技术

2、自动的客户端脚本分析器，允许对 Ajax 和 Web 2.0 应用程序进行安全性测试。

3、业内最先进且深入的 SQL 注入和跨站脚本测试

4、高级渗透测试工具，例如 HTTP Editor 和 HTTP Fuzzer

5、可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域

6、支持含有 CAPTHCA 的页面，单个开始指令和 Two Factor（双因素）验证机制

7、丰富的报告功能，包括 VISA PCI 依从性报告

8、高速的多线程扫描器轻松检索成千上万个页面

9、智能爬行程序检测 web 服务器类型和应用程序语言

10、Acunetix 检索并分析网站，包括 flash 内容、SOAP 和 AJAX

11、端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查

WWW弱口令怎么利用

首先在感觉电脑运行不正常的时候先断开网线。 1. Administrator账号要看好 Administrator账号是系统的管理员账号，在默认情况下系统没有对它设置密码，而其这样的弱口令，很容易被黑客检测并破解，所以为了你的系统安全，请给其账号设置强壮的安全密码。步骤1.首先在操作系统桌面里，右击“我的电脑”标签，选择“管理”选项，然后在弹出的“计算机管理”对话框内，依次展开左侧“系统管理→本地用户和组→用户”选项，接着在其侧右击“Administrator”横条项，在显示的快捷菜单里，选择“设置密码”选项，然后按照里面相关提示，输入强壮的安全密码即可。步骤2.设置Administrator用户的权限限制，因为Administrator超级用户拥有的权限太大，万一被黑客破解成功，就会很容易连累到其他账户。所以这里在账户列表右击“Administrator”标签，选择“重命名”选项后，将其名称更改为任意名称，如CCC。然后新建立一个Administrator受限用户，即使以后该用户被攻破，也不会牵连到其他账户。步骤3.当然最安全的方法，莫过于是让其用户永远消失，这样黑客的破解自然也就失去了意义。具体删除方法如下：打开“注册表编辑器”对话框，依次展开左侧主件到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下，并将其下的[000001F4]和HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Administrator键值删除，然后重新启动一下计算机，Administrator超级用户即可消失的无影无踪。二、关闭不用的端口和共享服务每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80端口，smtp服务是25端口，ftp服务是21端口。在win2000安装中，默认情况下这些服务都是自动开启的。对于个人用户来说有些服务根本都用不上，开启反而会引起黑客的注意，所以我们可以把无用的端口服务关闭掉。 1.关闭无用的端口服务步骤1.打开“控制面板”对话框，依次进入到“网络和Internet连接”→“网络连接”窗口。在弹出的“网络连接”对话框内，右击“本地连接”标签，选择“属性”选项，在其列表内选择“Internet协议(TCP/IP)标签”后，点击下方“属性”按钮，会弹出“Internet协议(TCP/IP)”对话框。步骤2.点击“高级”按钮，在显示的高级TCP/IP设置里，将上方标签切换至“选项”标签处，然后在单击里面“属性”按钮，弹出“TCP/IP筛选”对话框。步骤3.勾选“启用TCP/IP筛选(所有适配器)复选框，如果你想开放112端口，就在TCP端口上选择“只允许”选项，点击“添加”按钮。在弹出的“添加筛选器”对话框内，输入要添加的112端口，UDP端口设置同上，这样黑客要想入侵，必须得从你所允许开放的端口里侵入，其他关闭端口是无法入侵的。 2.关闭共享服务步骤1.为了能快速关闭驱动器和系统目录共享，这里打开“注册表编辑器”对话框，将其左侧组件依次展开到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters下，然后双击右侧的“Autoshareserver”键值，在弹出的对话框内，将数值数据里的1，更改成0后，单击“确定”按钮，使设置生效。如果右侧键值里没有“Autoshareserver”项，你可以自行建立一个其键值，并且数值数据里与前面一样更改成0。最后再将“Autosharewks”键值，里面的数值数据也更改成0。步骤2.倘若系统内有共享目录，可在其共享目录上方右击，选择“共享安全”选项后，在将其共享去除。步骤3. 为了防止黑客利用共享入侵，我们只需家其共享服务关闭即可避免，打开“控制面板”对话框，双击里面“管理工具”标签。在弹出的对话框内，依次展开“服务和应用程序”→“服务”选项，然后从中找到server服务选项双击进入，将里面的启动类型更改为“已禁用”，最后重新启动一下计算机，就可将共享服务关闭了。

利用某些特殊构造的SQL语句插入SQL的特殊字符和指令，提交一段数据库查询代码（一般是在浏览器地址栏进行，通过正常的端口访问），操纵执行后端的DBMS查询并获得本不为用户所知数据的技术，也就是SQL Injection（SQL注入）。

SQL注入是从正常的WWW端口通过对页面请求访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙很少会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。

SQL注入的手法相当灵活，可以根据具体情况进行分析，构造巧妙的SQL语句，从而获取想要的数据。

程序存在SQL注入，追其原因，是因为代码或者编码的不完善。但说到底，是程序员的惰性。代码的不完善，往往是因为在程序编写的过程中，没有考虑到代码的健壮性及安全性的结果，就国内现状来看，大多数网站使用的脚本语言，用ASP+Access或SQLServer的占70%以上，PHP+MySQL占20%，其他的不足10%，并且因为开发者水平的参差不齐,代码编写的过程考虑不够周全，程序代码的安全性值得怀疑，而程序脚本被注入也成为必然。

当然，程序运行环境的先天缺陷也是人为的，这种现象无法完全杜绝避免。从攻击者的角度来看，使用SQL注入能够避免绝大多数防火墙的防御，不留攻击痕迹，攻击手法多种多样，因此才会导致SQL注入攻击手段的兴起。

3.1.2、SQL注入的原理及分类

SQL-Injection的原理

SQL是一种用于关系数据库的结构化查询语言。它分为许多种，但大多数都松散地基于美国国家标准化组织最新的标准SQL-92。SQL语言可以修改数据库结构和操作数据库内容。当一个攻击者能够通过往查询中插入一系列的SQL操作数据写入到应用程序中去，并对数据库实施了查询，这时就已经构成了SQL-Injection。

SQL-Injection的分类

由于SQL-injection攻击出要发生在B/S结构的应用程序上，而这些程序大部分都属于互联网的web站点，在这种情况下SQL-Injection同样需要遵循HTTP协议，形成了两种分类： POST方式注入和GET方式注入

3.1.3、SQL-Injection的攻击方法

常规注入方法 SQL注入攻击本身就是一个常规性的攻击，它可以允许一些不法用户检索你的数据，改变服务器的设置，或者在你不小心的时候黑掉你的服务器。

旁注顾名思义就是从旁注入，也就是利用主机上面的一个虚拟站点进行渗透，此类手法多出现与虚拟主机站点。

盲注通过构造特殊的SQL语句，在没有返回错误信息的情况下进行注入。

跨站注入攻击者利用程序对用户输入过滤及判断的不足，写入或插入可以显示在页面上对其他用户造成影响的代码。跨站注入的高级攻击就属于这种攻击。

3.1.4、SQL注入的危害

SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站的正常运营和访问该网站的网友都带来巨大危害。

3.1.5、SQL注入漏洞的风险

由于SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。

无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制，如果你的网络应用程序开发者没有遵循安全代码进行开发，攻击者将通过80端口进入你的系统。

例如，如果一个网站的数据库系统为SQL Server 2000数据库，同时没有在数据库的权限设置上做好安全限制，将导致严重的后果。SQL注入意味着数据库也会被攻破，入侵者得到当前数据库权限的同时，也获得了整个数据库服务器的管理权限，入侵者可通过数据库管理权限得到系统权限，并为所欲为。

再者，很多网站的管理后台都可经由公网直接访问到后台管理登录页面，并且可通过暴力猜解等方式对后台管理账户进行猜解。对于任何一个网站的后台管理登录页，安全的做法应该是限制访问。尤其是对于及银行网络来说，更不应该将后台管理页面放置到公网上任由访问，这样的话安全系数会大大减少，遭受攻击的机会却大大增加了。

3.2、网络钓鱼

网络钓鱼(Phishing)一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了”Phishing”，Phishing 发音与 Fishing相同。 “网络钓鱼”就其本身来说，称不上是一种独立的攻击手段，更多的只是方法，就像现实社会中的一些一样。

攻击者利用欺骗性的电子邮件和伪造的Web站点来进行活动，诱骗访问者提供一些个人信息，如号、账户用和口令、社保编号等内容（通常主要是那些和财务，账号有关的信息，以获取不正当利益），受骗者往往会泄露自己的财务数据。

者通常会将自己伪装成知名银行、在线零售商和公司等可信的品牌，因此来说，网络钓鱼的受害者往往也都是那些和电子商务有关的服务商和使用者。

3.2.1、网络钓鱼工作原理

现在网络钓鱼的技术手段越来越复杂，比如隐藏在中的恶意代码、键盘记录程序，当然还有和合法网站外观完全一样的虚网站，这些虚网站甚至连浏览器下方的锁形安全标记都能显示出来。网络钓鱼的手段越来越狡猾，这里首先介绍一下网络钓鱼的工作流程。通常有五个阶段：

网络钓鱼的工作原理

3.2.2、“网络钓鱼”的主要手法

a、发送电子邮件，以虚信息引诱用户中圈套

分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对账等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、号、号等信息，继而盗窃用户资金。

例如今年2月份发现的一种骗取美邦银行(Smith Barney)用户的账号和密码的“网络钓鱼”电子邮件，该邮件利用了IE的映射地址欺骗漏洞，并精心设计脚本程序，用一个显示地址的弹出窗口遮挡住了IE浏览器的地址栏，使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时，状态栏显示的链接是虚的。

当用户点击链接时，实际连接的是钓鱼网站://**.41.155.60:87/s。该网站页面酷似Smith Barney银行网站的登陆界面，而用户一旦输入了自己的账号密码，这些信息就会被黑客窃取。

b、建立冒网上银行、网上证券网站，骗取用户账号密码实施盗窃

犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意html代码，屏蔽住一些可以用来辨别网站真的重要信息，利用cookies窃取用户信息。

如曾互联网上出现过的某冒银行网站，网址为://.1cbc.cn/，而真正银行网站是://.icbc.cn/，犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。

又如2004年7月发现的某公司网站(网址为://.1enovo/)，而真正网站为 ://.lenovo/，者利用了小写字母l和数字1很相近的障眼法。者通过QQ散布“XX集团和XX公司联合赠送QQ币”的虚消息，引诱用户访问。

c、利用虚的电子商务进行

此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年，罪犯佘某建立“奇特器材网”网站，发布出售间谍器材、黑客工具等虚信息，诱骗顾主将购货款汇入其用虚身份在多个银行开立的账户，然后转移钱款的案件。

除少数不法分子自己建立电子商务网站外，大部分人用在知名电子商务网站上，如“易趣”、“淘宝”、“阿里巴巴”等，发布虚信息，以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种产品，或以次充好，以走私货充行货，很多人在低价的诱惑下上当受骗。网上交易多是异地交易，通常需要汇款。不法分子一般要求消费者先付部分款，再以各种理由诱骗消费者付余款或者其他各种名目的款项，得到钱款或被识破时，就立即切断与消费者的联系。

d、利用木马和黑客技术等手段窃取用户信息后实施盗窃活动

木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。

如去年网上出现的**某银行个人网上银行账号和密码的木马Troj_HidWebmon及其变种，它甚至可以**用户数字证书。又如去年出现的木马“证券大盗”，它可以通过屏幕快照将用户的网页登录界面保存为，并发送给指定邮箱。黑客通过对照中鼠标的点击位置，就很有可能破译出用户的账号和密码，从而突破软键盘密码保护技术，严重威胁股民网上证券交易安全。

e、利用用户弱口令等漏洞破解、猜测用户账号和密码

不法分子利用部分用户贪图方便设置弱口令的漏洞，对密码进行破解。如2004年10月，三名犯罪分子从网上搜寻某银行储蓄卡卡号，然后登陆该银行网上银行网站，尝试破解弱口令，并屡屡得手。

实际上，不法分子在实施网络的犯罪活动过程中，经常取以上几种手法交织、配合进行，还有的通过手机短信、QQ、msn进行各种各样的“网络钓鱼”不法活动。

3.3、跨站攻击

XSS又叫CSS(Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入Web里面的html代码会被执行，从而达到攻击者的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人经常忽略其危害性。

就攻击者而言，可以把XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如:DVBBS的showerror.asp存在的跨站漏洞。另一类则是来自外部的攻击，主要指的攻击者构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当攻击者要渗透一个站点，攻击者构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。

传统的跨站利用方式一般都是攻击者先构造一个跨站网页，然后在另一空间里放一个收集cookie的页面，接着结合其它技术让用户打开跨站页面以**用户的cookie，以便进一步的攻击。这种方式太过于落后，比较成熟的方法是通过跨站构造一个表单，表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。

当发动CSS攻击或检测一个网站漏洞的时候, 攻击者可能首先使简单的HTML标签如<b>(粗体),<i>(斜体)或<u>(下划线)，或者他可能尝试简单的script标签如<script>alert("OK")</script>。因为大多数出版物和网络传播的检测网站是否有css漏洞都拿这个作为例子。这些尝试都可以很简单的被检测出来。

然而，高明点的攻击者可能用它的hex值替换整个字符串。这样<script>标签会以%3C%73%63%72%69%70%74%3E出现。另一方面，攻击者可能使用web代理服务器像Achilles会自动转换一些特殊字符如<换成%3C>换成%3E。这样攻击发生时，URL 中通常以hex等值代替角括号。

3.4、溢出漏洞

溢出漏洞是一种计算机程序的可更正性缺陷。溢出漏洞的全名为“缓冲区溢出漏洞”。因为它是在程序执行的时候在缓冲区执行的错误代码，所以叫缓冲区溢出漏洞。它一般是由于编成人员的疏忽造成的。具体的讲，溢出漏洞是由于程序中的某个或某些输入函数（使用者输入参数）对所接收数据的边界验证不严密而造成。

根据程序执行中堆栈调用原理，程序对超出边界的部分如果没有经过验证自动去掉，那么超出边界的部分就会覆盖后面的存放程序指针的数据，当执行完上面的代码，程序会自动调用指针所指向地址的命令。根据这个原理，恶意使用者就可以构造出溢出程序。

大多数应用程序保存数据的存储地址大小是固定的。如果攻击者向这些存储区域之一中发送了过量数据，而程序没有检查数据的大小，则会发生溢出。攻击者针对这一特点发出的攻击称为缓冲区溢出攻击。

缓冲区是用户为程序运行时在计算机中申请得的一段连续的内存，它保存了给定类型的数据。缓冲区溢出指的是一种常见且危害很大的系统攻击手段，通过向程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，以达到攻击的目的。

而人为的溢出则是有一定企图的，攻击者写一个超过缓冲区长度的字符串，然后植入到缓冲区，而再向一个有限空间的缓冲区中植入超长的字符串可能会出现两个结果，一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另有一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统root特级权限。大多造成缓冲区溢出的原因是程序中没有仔细检查用户输入参数而造成的。

缓冲区溢出问题并非已成古老的历史，缓冲区溢出攻击已成为最常用的黑客技术之一。引起缓冲区溢出问题的根本原因是C（与其后代C++）本质就是不安全的，没有边界来检查数组和指针的引用，也就是开发人员必须检查边界（而这一行为往往会被忽视），否则会冒遇到问题的风险。标准C库中还存在许多非安全字符串操作，包括：strcpy()、sprintf()、gets()等，这些都是程序员需要注意的。

3.5、拒绝服务攻击

网络安全中，拒绝服务攻击（DOS）以其危害巨大，难以防御等特点成为骇客经常用的攻击手段。DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。

3.5.1、被拒绝服务攻击时的现象

最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，大量攻击包导致网络带宽被阻塞，合法网络包被虚的攻击包淹没而无法到达主机，使得所有可用网络都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务，使得所有可用的操作系统都被消耗殆尽，最终服务器无法再处理合法用户的请求。

如何判断网站是否遭受了流量攻击呢？可通过Ping命令来测试，若发现Ping超时或丢包严重(定平时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了了，基本可以确定是遭受了流量攻击。当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一点可以肯定，如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。

相对于流量攻击而言，耗尽攻击要容易判断一些，如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能遭受了耗尽攻击，此时若在服务器上用netstat -an命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了耗尽攻击。还有一种属于耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带宽还是有的，否则就Ping不通接在同一交换机上的主机了。

3.5.2、总结为以下几个典型特徵：

被攻击主机上有大量等待的TCP连接

网络中充斥着大量的无用的数据包，源地址为

制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯

利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的

服务请求，使受害主机无法及时处理所有正常请求

严重时会造成系统死机

在2006年，拒绝服务攻击已经被提升到了利用僵尸网络BotNet进行大批量攻击的层次，其严重程度已经达到了阻塞国内网络的程度。根据今年上半年监测的数据，中国拥有的“僵尸网络”电脑数目最多，全世界共有470万台，而中国就占到了近20%。而据国内不完全统计，中国拥有的“僵尸网络”电脑数量达到120万台，其严重性已不可忽视。

3.6、社会工程学

我们通常把基于非计算机的欺骗技术叫做社会工程。社会工程中，攻击者设法设计让人相信它是其他人。这就像攻击者在给人打电话时说自己是某人一样的简单。因为他说了一些大概只有那个人知道的信息，所以受害人相信他。

社会工程的核心是，攻击者设法伪装自己的身份并设计让受害人泄密私人信息。这些攻击的目标是搜集信息来侵入计算机系统的，通常通过欺骗某人使之泄露出口令或者在系统中建立个新帐号。其他目标使侦察环境，找出安装了什么硬件和软件，服务器上装载了什么补丁等等。

通过社会工程得到的信息是无限的，其严重程度亦可从大量用户被网络钓鱼中窥见一斑，攻击者可利用网络钓鱼获得的信息尝试用户信箱及即时通讯工具的账户，从而获取有用的信息。

4、2007年黑客攻击水平会发展到惊人的程度之上

虽然Botnet在最近几个月引发了大量的垃圾邮件，但是，安全研究人员更警惕的是垃圾邮件的高级水平。安全人员警告说，有针对性的钓鱼攻击正在进入企业电子邮件服务器。

垃圾邮件已经达到了我们通常所说的商业级产品的水平。我们已经看到了这种活动的变化。现在，Botnet发出大量单独的垃圾邮件。

根据MessageLabs的统计，今年11月份全球垃圾邮件的通信量已经增长到了占全球电子邮件通信量的90%。这个百分比预计在今年12月份将继续保持下去。

此外，在200封电子邮件中至少有一封电子邮件包含钓鱼攻击的内容。最近拦截的恶意电子邮件中，有68%以上的恶意邮件是钓鱼攻击邮件，比过去的几个月增长了。

安全研究人员预计，2007年将是攻击的高级程度发展到惊人的水平的一年。

攻击者将搜索MySpace等社交网络网站，窃取地址、地区号码和其他身份数据以便使钓鱼攻击电子邮件让受害者看起来像真的一样。

在许多情况下，坏分子可能使用银行的地址，让受害者以为电子邮件是从银行发出来的，从而使钓鱼攻击获得成功。这些坏分子将抢劫大型社交网络团体的数据库，利用垃圾邮件成功地实施攻击。

安全公司赛门铁克的高级工程经理Alfred Huger说，每一天发生的钓鱼攻击的企图高达700多万起，并称，不成熟的钓鱼攻击已经显著增加到了每天900起以上。

攻击者将从住在同一个地区的人们那里收集电子邮件地址。然后，攻击者向受害者发出一封钓鱼攻击电子邮件。这种电子邮件表面上看好像是从那个地区的银行或者其它金融机构那里发来的。进入到2007年，Huger预测，钓鱼攻击将变得更加有针对性并且更难发现其欺骗性。

可信赖的因素非常高，人们更容易成为这种攻击的猎物，因为人们想不到自己的银行会参与这种事情。

随着具有电子邮件和其它消息功能的手机的应用，使用短信实施的钓鱼攻击在2007年也将增长。我们的手机现在已经成为微型的计算机，任何在台式电脑上发生的事情都可能对我们的手机产生影响。一些企业已经开始制定有关移动设备

使用的政策，还有一些企业没有制定这种政策。中间地带并不大。

企业和消费者能够取基本的措施进行反击。金融机构将改善身份识别功能和加强教育的努力，以便帮助客户理解他们的银行什么时候将与他们进行合法的联系。消费者可以向赛门铁克反钓鱼攻击网站举报钓鱼网站以便与网络作斗争。

Rootkit在增长

攻击者在2006年更广泛地应用rootkit技术。这种技术的应用在2007年将继续增长。rootkit是一种软件工具集，能够让网络管理员访问一台计算机或者一个网络。一旦安装了rootkit，攻击者就可以把自己隐藏起来，在用户计算机中安装间谍软件和其它监视敲击键盘以及修改记录文件的软件。虽然微软发布的Vista操作系统能够减少某些rootkit的应用，但是，rootkit的使用在2007年将成为标准。据赛门铁克称，用户模式rootkit策略目前已经非常普遍。内核模式rootkit的使用也在增长。

Rootkit是一种功能更强大的工具。我们将看到更多的rootkit，因为安全产品正在变得越来越强大，攻击者不得不提高赌注。