-
-
[讨论]新人提问,现在的除了0day和病毒,木马外的渗透手段,能成功拿到控制权吗?
-
发表于:
2017-2-28 19:58
2233
-
[讨论]新人提问,现在的除了0day和病毒,木马外的渗透手段,能成功拿到控制权吗?
近来在看《黑客攻防技术宝典:web实战篇》,看了200多页,想了一下,像是sql注入,对于一个又水平不太差的程序员做出来的网站,基本上用参数化查询就已经机会不大了吧(说错了求轻喷),像是访问控制那些,如果只是单个阶段登录,所有页面都用https连接,cookie也加security标记,session也就20分钟就过期....做足了这些功夫,是不是基本就只能靠0 day或者写个病毒或者木马想办法放进去目标主机开个后门,其它渗透手段基本都没什么作用呢?
因为本人认为,既然书上都已经在说的了,那么这些安全防护在专业人士眼中应该是已经作为常识的了吧.......就是有一定水平的程序员做出来的网站,应该不依靠0 day这些攻不进去了....当然,像我这种半吊子水平的大三学生,目前会ASP.NET MVC开发和java的web应用开发,但是在看这本书之前,基本上都没考虑过这些问题,基本上这些手段只能攻进我这样水平的人写的网站了吧.....是不是这样?但是如今广泛使用各种框架开发,程序员半吊子水平没考虑到,框架的开发者,尤其是流行框架,像做博客,做论坛有现成框架可以用的这些,应该也考虑到这些问题了吧.......于是结论就是,只有靠0 day或者想办法放个病毒,木马进去了吗?新人的这点不解之处,希望解答一下
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课