2022 年了，黑客攻击的手段还是 PHP 和 sql 注入那老一套吗？

讨论未结 60 30

v2defy 会员 2022年9月26日 16:28 发表

打开或者下载APP，畅享极致体验

<p>现在用 php 开发网站的已经很少了吧，前后端分离 docker 微服务大行其道，以前那点手段怕是行不通了吧！</p>

相关标签：灌水交流
注意：本文归作者所有，未经作者允许，不得转载

60个回复

PMR 会员

2022年9月26日 16:28

Owasp top 10

0 0

crab 会员

2022年9月26日 16:28

注入还是有吧，sqlmap 。

0 0

aino 会员

2022年9月27日 01:19

经典永不过时

0 0

xiao109 会员

2022年9月27日 01:19

高端的黑客往往使用最朴实的攻击手段

0 0

singerll 会员

2022年9月27日 01:19

渗透我只服社会工程学。

0 0

Lykos 会员

2022年9月27日 01:19

指买通保安关电源是吧 :)

0 0

cat9life 会员

2022年9月27日 01:19

古老的手段不代表没用，有时候注入有奇效，像弱口令一样。不是说“没有技术含量”就没用

0 0

sunny1688 会员

2022年9月27日 01:19

和语言有关系吗

0 0

julyclyde 会员

2022年9月27日 01:19

这事跟 docker 有啥关系？就这种“言必称 docker”的菜鸟，才是 bug 的根源

0 0

julyclyde 会员

2022年9月27日 01:19

机房录像如果丢失了要赔钱的

0 0

NewYear 会员

2022年9月27日 01:19

我这边是制造业中等偏小的企业，用的大厂的产品（私有部署），最坑的就是 web 端，Java 语言，各种漏洞，各种补丁，没有自动补丁功能，全手工,很难想象很多没有专业技能的企业，如何应对得过去。

0 0

HugoChao 会员

2022年9月27日 01:47

词典刷弱口令肯定没过时

0 0

xdzhang 会员

2022年9月27日 01:47

天天一堆尝试 www.rar www.zip bak.zip .gz 的，都无语了。

0 0

raysonlu 会员

2022年9月27日 01:47

DD 才是流氓

0 0

keepeye 会员

2022年9月27日 01:47

docker 包治百病吗？

0 0

v2defy 会员 (楼主)

2022年9月27日 02:16

在 docker 容器里运行，不是多了一层保障吗

0 0

hahiru 会员

2022年9月27日 02:16

邮件钓鱼依旧好用。

0 0

melsp 会员

2022年9月27日 02:16

你这个 php 和 sql 问题很奇怪，有肯定有他存在的道理

0 0

LZSZ 会员

2022年9月27日 02:16

直接潜入（不是

0 0

jaggle 会员

2022年9月27日 02:16

docker 在安全方面的作用就是应用相互隔离，以往的架构上，一个应用有漏洞会导致服务器上所有应用都有可能受到攻击

0 0

julyclyde 会员

2022年9月27日 02:16

你这是访问数据库啊，不是本地文件系统啊，docker 怎么就多一层保障了？

0 0

pkoukk 会员

2022年9月27日 02:16

各种中间件漏洞，什么 es,redis 一类的这些组件大多数情况下都不会及时升级版本，如果暴露在公网，防护能力比较弱，就极有可能遭到漏洞攻击上次号称上海丢了几亿条数据，据称就是 es 被拖了

0 0

mrgeneral 会员

2022年9月27日 02:16

Docker 不管 SQL 数据注入，如果是提权还是可以防一下。

0 0

renmu 会员

2022年9月27日 02:16

WordPress ，你是指我吗？

0 0

junmoxiao 会员

2022年9月27日 02:16

预编译有些位置用不了，比如表名，排序字段等

0 0

zyronon 会员

2022年9月27日 02:47

docker 特定版本也可以逃逸

0 0

yakumo520 会员

2022年9月27日 02:47

啊，对对对，2022 年了，PHP 就是比其他语言容易被注入

0 0

qzhai 会员

2022年9月27日 02:47

从全球角度看，php 应该还是 web 的大头，毕竟有个开源的 WordPress 在那

0 0

ym1ng 会员

2022年9月27日 02:47

你们啊还是要学习一个（手动狗头

0 0

laolaowang 会员

2022年9月27日 02:47

什么 PHP ，什么注入，直接插 U 盘，拔网线不好么？

0 0

laotun 会员

2022年9月27日 02:47

都 2022 年了，每年的护网还是有那么多企业被打穿

0 0

brader 会员

2022年9月27日 02:47

都 2022 年了，还在黑 PHP 吗，怎么，其他语言、框架，没有漏洞了吗，前段时间闹得沸沸扬扬的 log4j 那么快就忘了?影响还不够大？

0 0

neptuno

2022年9月27日 03:46

可能是让对方把验证码发过来

0 0

onice 会员

2022年9月27日 03:46

一个网站的风险有这几个风险点：一个是来自 web 应用程序本身的漏洞，比如你说的注入，还有跨站脚本这些。第二是 web 服务器环境的漏洞，比如 Java 项目使用的 tomcat ，weblogic ，网站使用的 iis ，还有 php 使用的 apache ，nginx 等。第三个是主机漏洞，来自操作系统的漏洞。比如比较经典的永恒之蓝。参考上述三点。即使是你保证了你的 web 程序没漏洞，但也不能防止 web 中间件的漏洞和主机操作系统的漏洞。对于巨石应用，所有环境都部署在一台服务器上的，安全比较好做。三个层面做好就行了。但是对于一个大型企业，不可能只有一个网站应用。当网站系统和服务器主机数量成规模了，就比较考研运维人员的能力了。对于攻击者，我们只会挑薄弱的地方下手。找到存在漏洞的站点作为立足点，逐步进入企业内网，并横向移动直到获取域控权限。没有永远安全的系统。随着时间推移，上面提到的三个方向，一定会出现漏洞，而随着网站数据增加，重要的系统迁移到新系统成本反而很大，大部分企业不会重视，不会为了安全原因投钱开发一个新系统。现在很多企业，甚至还用着 centos6 ，用着 windows7 。当所有技术手段都失效了，我们还可以用社会工程学。鱼叉攻击，水坑攻击这些。参考最近西北工业大学的入侵事件。总之，安全是整体，具有木桶效用。并不是说前后端分离了，就安全了。

0 0

mshadow 会员

2022年9月27日 03:46

Prepared Statement 依然挡不住有人手拼 sql

0 0

h175h32 会员

2022年9月27日 04:45

这两种快速有效啊。

0 0

superrichman 会员

2022年9月27日 05:15

大哥总结的好，一看就是专业的

0 0

520discuz 会员

2022年9月27日 05:45

1.怕 centos 被黑 2.怕 nginx 被黑 3.怕 php 被黑 4.怕 mysql 被黑 5.怕 phpmyadmin 被黑 6.怕 cms 被黑 7.怕宝塔被黑 8.怕 cms 第三方插件有漏洞或带后门 9.怕宝塔第三方插件有漏洞或带后门这 9 个里只要有一个出问题网站就被黑了~~~

0 0

Akesudia 会员

2022年9月27日 05:45

千里之堤，溃于蚁穴。

0 0

lmmlwen 会员

2022年9月27日 06:15

干脆你直接开喷 php 就好了，你是不是觉得你智商还挺高，说的挺隐晦啊？

0 0

abersheeran 会员

2022年9月27日 06:15

赚的就是菜鸟的钱啊。我为前公司做了一套 ORM ，防注入的。顶不住有人还是直接拼字符串，被公司内安服人员内部 sqlmap 扫出来了。一开始是我被叫过去，说是我 ORM 有问题。再一看代码，压根没用我 ORM ，直接拿了 connection 传 SQL 的。💦非常无语。

0 0

zunceng 会员

2022年9月27日 06:15

说一个我们服务器被攻破的案例服务是 Golang + docker 也没有啥漏洞。然后 sre 组在开发完全不知情的情况下部署了了一个 Logstash 收集 docker 日志。docker 里面有一个 nginx 把 http head refer 打印出来了。爆出 log4j JNDI 的问题后一段时间我们公司的服务器也中招了，整个组懵逼的找了好久问题。这种情况啥都防不住

0 0

KimGuo 会员

2022年9月27日 06:45

说的简单，又不知道今年 WA 又有多少公司被打穿了

0 0

xiaoding 会员

2022年9月27日 07:15

跟语言无关，跟前后端分离无关，跟云原生架构也无关，只要有输入输出，有针对外部提交的数据进行处理分析，就会有风险，即使没有输入，也有安全性的问题: 系统瘫痪(可用性),造成关键数据丢失(完整性)等等，即使底层系统和应用系统是安全的，业务不安全(风控，反欺诈) 即使外部安全但内部不安全(内鬼，数据泄漏)等等

0 0

dingwen07 会员

2022年9月27日 07:45

#31 但是表名和字段不可能是用户输入的数据吧

0 0

yolande 会员

2022年9月27日 07:45

高端的黑客往往只需要采用最朴素的攻击方式

0 0

junmoxiao 会员

2022年9月27日 07:45

但是事实上确实存在不少这样干的

0 0

ysc3839 会员

2022年9月27日 08:15

#5 还有大量低水平的人不知道有占位符功能，仍然直接拼接 SQL 字符串

0 0

zlowly 会员

2022年9月27日 08:45

因为知道 PHP 和 sql 注入危害的人已经年纪大了，不是做管理就是被优化了，作为码农生力军的新入门菜鸟继续重复着这些错误。什么 docker 微服务，对黑客的拖库和挖矿来说，影响其实并不大，而且部署 docker 的人往往更疏于关注系统更新和补丁。

0 0

xuanbg 会员

2022年9月27日 09:15

只能说有效就好！很多系统的安全性薄弱到令人发指。。。真的

0 0

exploreexe 会员

2022年9月27日 09:45

网络安全这事，只要联网了就有安全问题，反正我看过的很多被入侵案例都挺超出想象力的，有些管理员各种安全手段用上，结果一个习惯就可能导致服务器被黑。比如有些程序员特别费劲的做了一通安全防护，结果运营压根不管，怎么简单怎么来，一点招没有。哈哈哈

0 0

someonedeng 会员

2022年9月27日 09:45

程序本来就有问题的情况下，引入 docker 并不能改变太多

0 0

pusheax 会员

2022年9月27日 12:15

SQL 注射远不止存在于 Web 应用。举个例子，C/S 架构的应用程序，也可能存在 SQL 注射。像 TDS 协议，流量无法全加密，配合 ARP 欺骗的手段，就可以执行任意 SQL 语句。目前来说，SQL 注射还是影响十分广泛的安全问题。因为它不像中间件，或者操作系统的 NDay ，可以通过打补丁修复。这一类与开发者水平强相关的漏洞，可能永远无法根除。

0 0

demoshengxw 会员

2022年9月27日 12:45

我寻思 2022 年了，php 都走 pdo 参数绑定后 mysql 服务端压根对参数不做语义解析。这怎么会有注入呢

0 0

demoshengxw 会员

2022年9月27日 12:45

再说这跟你走不走容器没有任何关系，本质上是利用构造字符串执行恶意 sql ，跟 php 在什么环境没啥关系啊

0 0

karloku 会员

2022年9月27日 13:15

各种云平台和开发框架 /成熟库把很多弱智错误都规避掉了现在通常社工手段会更容易一点. 为了便利要求开发者主动降低安全性的运营; 完全没有防钓鱼意识的管理者; 会把密钥传去 github 的开发...

0 0

sprite82 会员

2022年9月27日 13:15

部署了个博客，我自己都十天半个月不看一次的，但是 nginx 每天都有几个 ip 来扫漏洞，请求后缀都是 php, asp 等最常见的是 phpadmin ，还有 ../.git ../.ssh/config 这类想访问密钥的

0 0

f165af34d4830eeb 会员

2022年9月27日 13:45

0 0

ragnaroks 会员

2022年9月27日 13:45

你说的脚本小子，真正的黑客参考美国对中国的网络攻击

0 0

Chaconne 会员

2022年9月27日 15:48

初级黑客：社工也算厉害的工具？顶级黑客：社工是最厉害的工具！

0 0

2022 年了，黑客攻击的手段还是 PHP 和 sql 注入那老一套吗？

友情链接