網站為什麼會存在漏洞

為什麼很多網站系統都存在這個安全漏洞，這裡面我所指的一些網站都是一些小公司的，或者是一些個人的網站系統，比如說像阿里、騰訊、百度這些大公司，他們因為有自己的開發團隊和相關的這個安全人員，他們的漏洞相對就非常非常的少。那麼一個網站的話，一旦存在這個安全漏洞，它就有可能會造成巨大的這個經濟損失。一般出現這個安全漏洞的網站的話，它會導致這個資料被惡意的去修改，或者是一些敏感的資料被盜取，從而造成經濟的損失。

接下來的話我就通過一個案例和大家說明一下，如果您已經看過這個案例的話，可以直接跳過，進入後面的詳細描述。這裡我給大家準備了一個網站，那麼這個網站的話，大家也可以通過百度，然後搜尋關鍵詞，就可以找到它的這個官網。那麼這個官網的話，我們事先的話對它進行這個安全漏洞測試的時候，就發現了它存在一個高危的注入漏洞。當然這個漏洞的話，我們也是會通知他們的相關的技術人員，技術維護人員，然後協助他們進行這個漏洞的修復，這個網站也是經過授權許可才會進行漏洞測試，切不可未授權就去測試漏洞。

那麼今天的話我就和大家演示一下這個漏洞它是怎麼個利用法。因為它存在這個安全漏洞，那麼上面的這個網站的這個資料的話就會被惡意的去修改，比如說一些不法分子的話，他就可以去修改這個客服聯絡電話，當然的話上面的一些圖片還有一些資料都是可以進行修改，比如說像這個官方的這個二維碼，那麼接下來我就給大家一演示一下如何去使用這個漏洞。

那麼首先的話我們現在需要用到一款工具，那麼這款工具的話它是專門用來掃描漏洞的工具，然後的話我們先來把這個網站測試一下，把這個客服的這個電話然後的話將它修改成400120-120，這裡面的話我們需要用到一個這個叫做攻擊指令碼，然後的話我們複製一下，然後的話開啟這個工具，然後這裡面的話我們就填寫一下注入指令碼，然後這裡面的話它有一個後臺的一個地址，我們填寫它網站的地址就可以了，然後的話我們點選一下這個注入指令碼，然後的話我們再來重新整理，然後看一下，這裡面的話就變成了這個400120120，然後接下來的話我們就去嘗試修改一下它的這個二維碼，因為它這個二維碼的話它是一個圖片的形式，所以說的話我們就要事先準備一個二維碼，二維碼圖片，比如說我們現在的話事先準備了這個二維碼，這是一個被替換的二維碼，然後的話我們來執行一下這個攻擊指令碼，然後看一下這個具體這個效果，我們複製一下這段程式碼，然後的話在同樣的話在這個注入指令碼這裡面的話點選一下注入指令碼，然後我們再來重新整理一下看一下。大家注意看，位置的這個二維碼就已經是被修改了。

這個漏洞的演示就到通過上面的這個案例我們就可以看到，因為網站存在這個安全漏洞，它就會導致一些資訊被修改。比如說一些聯絡方式，還有一些二維碼或者是一些圖片等等。如果說你是做這個廣告推廣的，因為這個推廣頁面的話存在這個安全漏洞，就會導致你這個自己花錢要給別人做廣告。

那麼回到這個主題，那麼為什麼很多網站它會存在這個安全漏洞，首先的話因為絕大多數的這種小公司或者是個人的這種網站系統，通常的話都不是自己開發的，都是通過網上某一些渠道來購買的，比如說像淘寶或者是某一些個人技術開發者，然後從那裡購買而來的。

那麼這些技術開發者或者是一些淘寶店家，他們是不是擁有非常雄厚的這個技術基礎，當然不是，他們也也是通過在網際網路上去下載下載相關這個原始碼，然後給你去搭建，所以很多價格的話都是非常的低廉，比如說幾十塊幾百塊幾千塊的都有，比如說像一些CMS系統，部落格系統，然後企業網站系統等等。

好，但是這些從網際網路上面下載下來的原始碼，他是不是已經被黑客事先加入了一些後門，或者是原始碼是否存在這個程式碼缺陷，這個的話別人壓根不會去管這個問題，別人管的只是給你搭建好系統，然後驗收通過，你給錢就完事了。

那麼通常正確的做法就是說需要對這些系統進行這個安全審計，進行這個安全審計檢檢查一下，看看它是否存在這個安全漏洞。另外一個的話就需要做一些安全的這個測試，在即即使這個程式碼有這個缺陷的。第二個的原因的話主要是因為現在很多的這種系統的話，它都是大量的採用各種各樣的這種開源元件，那麼通常一套成熟的系統，它都會包含數10種這種元件，那麼這些元件的話它是否存在這個安全隱患。

如果一旦別人研究到了這個漏洞，而你要使用這套原始碼，那麼就會很容易的被別人攻破了，比如說以前的這個織夢dedeCMS，它就會存在上傳漏洞，導致國內的60%的網站系統都被黑客拿下來，然後做百度灰色關鍵詞等等。當然的話這個導致這個防站的安全漏洞的這個原因還有很多做裡面的話，因為這個時間的關係，我就不一一的舉例，如果說有什麼不懂的，或者是需要這個相關的網站漏洞修復技術支援的，都可以來找SINE安全尋求相關的這個技術支援