漏洞分析和渗透测试

1、漏洞分析及渗透测试漏洞分析及渗透测试1目录目录2漏洞攻击类型分析漏洞攻击类型分析3PHP拒绝服务脚本攻击, 29028, 54%基于GET方式的SQL注入漏洞, 6355, 12%Nginx远程文件解析漏洞攻击, 4143, 8%基于POST方式的SQL注入漏洞, 3335, 6%Dedecms远程代码执行漏洞攻击, 2987, 6%Apache Struts2远程命令执行漏洞, 2749, 5%非法http访问, 2221, 4%命令注入漏洞攻击, 1089, 2%备份文件探测, 794, 2%本地文件包含, 740, 1%漏洞攻击类型占比PHP拒绝服务脚本攻击基于GET方式的SQL注入漏洞

2、Nginx远程文件解析漏洞攻击基于POST方式的SQL注入漏洞Dedecms远程代码执行漏洞攻击Apache Struts2远程命令执行漏洞非法http访问命令注入漏洞攻击备份文件探测本地文件包含常见的漏洞类型常见的漏洞类型文件上传代码执行文件包含跨站脚本攻击SQL注入权限许可跨站请求伪造路径遍历设计错误文件读取命令执行文件创建文件下载弱口令后门漏洞漏洞类型类型No.1 中国互联网大面积DNS解析故障时间目标2014年1月21日中国顶级域的根服务器利用方式DNS污染详情国内通用顶级域的根服务器忽然出现异常，导致中国众多知名网站出现大面积DNS解析故障，这一次事故影响到了国内绝大多数DNS服务器

3、，近三分之二的DNS服务器瘫痪，时间持续数小时之久。事故发生期间，超过85%的用户遭遇了DNS故障，导致网速变慢和打不开网站的情况，部分地区用户甚至出现断网现象。近年来网络安全事件近年来网络安全事件No.2 携程信息“安全门”事件时间2014年3月22日目标携程网日志服务器利用方式目录遍历详情携程网安全支付日志存在漏洞，可导致大规模用户信息如姓名、身份证号、银行卡类别、银行卡卡号、银行卡cvv(信用卡背面的三位数安全码)码等信息泄露。这意味着，一旦这些信息被黑客窃取，在网络上盗刷银行卡消费都将易如反掌。近年来网络安全事件近年来网络安全事件cause：由于携程用于处理用户支付的安全支付服务器接口

4、存在调试功能，将用户支付的记录用文本保存了下来。同时因为保存支付日志的服务器未做校严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。No.3 “心脏出血”严重漏洞事件爆发时间2014年4月目标未知利用方式DDoS详情心脏出血(Heartbleed)是一个出现在开源加密库OpenSSL的程序漏洞，在整个IT行业及更广的周边行业引起了普遍的恐慌。通过这一漏洞，黑客可以读取到包括用户名、密码和信用卡号等隐私信息在内的敏感数据，并已经波及了大量互联网公司，受影响的服务器数量可能多达几十万，其中已被确认受影响的网站包括Imgur、OKCupid、Eventbrite以及

5、FBI网站等近年来网络安全事件近年来网络安全事件cause：这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容，这样一来受害者的内存内容就会以每次64KB的速度进行泄露。如果长时间大量的对该漏洞进行利用可以获取用户登录的帐号密码等信息。No.4 快递公司官网遭入侵时间2014年8月12日目标快递公司网站数据库利用方式未授权访问/权限绕过详情通过快递公司官网漏洞，登录网站后台，然后再通过上传(后门)工具就能获取该网站

6、数据库的访问权限，获取了1400万条用户信息，除了有快递编码外，还详细记录着收货和发货双方的姓名、电话号码、住址等个人隐私信息，而黑客拿到这些数据仅用了20秒的时间。近年来网络安全事件近年来网络安全事件No.5 iCloud曝安全漏洞 苹果陷入“艳照门”事件时间2014年8月目标苹果iCloud利用方式暴力破解/社会工程学详情今年八月，随着其iCloud服务被黑客攻破，造成数百家喻户晓的名人私密照片被盗近年来近年来网络网络安全事件安全事件cause：一名黑客利用“寻找丢失 iPhone”(Find me iPhone)功能漏洞盗取用户信息。由于 iCloud 允许用户多次尝试密码，黑客针对某些

7、女星的公开邮件账号反复猜测，并获取她们相机里面的私人照片以及其它明星的邮件地址。事件被证实是针对部分女星的有目的黑客行为。No.6 130万考研用户信息被泄露时间2014年10月31日目标考研报考网利用方式未知详情乌云网用户透露，考研报名数据可能遭到泄露并被售卖，数据中包括考研者姓名、性别、手机号码、身份证号、家庭住址、学校、报考专业等信息，非常详细。近年来安全事件近年来安全事件No.7 阿里云遭DDoS攻击时间2014年12月目标阿里云利用方式DDoS详情12月20日-21日，部署在阿里云上的一家知名游戏公司，遭遇了全球互联网史上最大的一次DDoS攻击。阿里云还称，第一波DDoS攻击从12月20日19点左右开始，一直持续到21日凌晨，第二天黑客又再次组织大规模攻击，共持续了14个小时，攻击峰值流量达到每秒453.8G。近年来网络安全事件近年来网络安全事件No.8 索尼影业被黑时间2014年12月目标索尼影视利用方式病毒传播近年来近年来网络网络安全事件安全事件详情美国索尼影视娱乐公司受到自称“和平卫士”的黑客组织黑客攻击，导致公司系统被迫关闭。此次攻击造成包括索尼