导语:2017年2月8日下午,一位网名为crjrfh的主播在虎牙直播网站上直播了自己是如何一步步黑掉山东理工职业技术学院网站,并可能拿去其中某些数据的。
2017年2月8日下午,一位网名为crjrfh的主播在虎牙直播网站上直播了自己是如何一步步黑掉山东理工职业技术学院网站,并可能拿去其中某些数据的。
下午两点多时,笔者登录虎牙直播网站发现白帽子crjrfh正在直播自己攻击山东理工职业技术学院网站,驻足观看了许久。他的攻击手段很常见,并不新奇,甚至还可以说漏洞百出。
法律后果
不管他的技术是多么的糟糕,但毫无疑问,白帽子crjrfh的这一行为明显是犯法,至少已经违反《治安管理处罚法》,轻则是警告、罚款,重则会行政拘留。
秉着严谨的态度,我们请教了律师行业从业的朋友,他们对这一行为的解释是:违法。如果他从学校网站获取了数据,那情节就变得非常严重,违反了刑法
第二百八十五条第二款:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。第二百八十六条:违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
白帽子Crjrfh攻击过程还原及点评
通过一小时的断续观看直播,综合评价该白帽子技术较差。
首先该白帽子没有配置一个良好的安全测试环境,通过直播得知,母机使用的Windows 7 操作系统,另外安装了虚拟机,虚拟机内环境为Windows Server 2003。其中母机使用的是360浏览器及IE 11,虚拟机中使用的IE 6。
其使用的黑客工具大致为如下:
AWVS 10.5(破解版) Wwwscan GUI版,搭配300K目录字典(未分类) SQLmap 1.0.3.9 御剑(修改版) Caidao(带后门版) Burpsuite Layer子域名收集器 Zenmap
其网络环境为电信ADSL拨号,虚拟机内拨VPN上网。在直播过程中,VPN多次断开。
整个攻击过程过于杂乱,笔者也不再过多阐述,我们来看一下这位白帽子的水平低在了哪里。
首先,他的浏览器是非常不适合的,如果将浏览器换成Chrome或Firefox,再配合一些插件的使用,整个工作流程会变得非常高效。
其次,在测试前的信息调研不清。在测试前,至少要了解目标站是什么语言开发的,具体使用了什么框架,这样至少可以将后续的测试提供具体思路,将流程针对化,而不是该白帽子在百度、Google中不停的"site:XXX inrul:asp/aspx/php"。一个良好的信息调研对一次成功的安全测试有非常大的促进作用。
从他的攻击演示中可以看出,他事先并没有做足充分的准备,工具都是临时百度搜索获取的,并且某些基础环境也没有到官网下载,这样对本机的安全也会造成一定的影响。
在攻击过程中,我们可以发现其漏洞扫描器、端口扫描器、SQLmap等工具均在本地同时执行。在经验上讲这是非常不可取的,首先这些工具在使用中会瞬时产生较大的流量,先不说本地的带宽是否承受的住,一些VPN提供商是不允许用户进行下载操作的,这种流量会使其瞬间断开与客户的连接,这样既会使他的部分扫描操作丢失或扫描中止,并且还会泄露真实的IP地址。后续本地网络不稳定,该白帽子还临时在淘宝网购买了一台价值179元的VPS服务器,通过连接肉鸡进行扫描操作。
还有一些类似个人信息保护不严,真实IP泄漏的问题在此不再提及。综上所述,该白帽子的技术水平不是很高。
其中有一个攻击思路还是可取的,我们在直播中看到该白帽子使用微步在线的服务进行了最初的二级域名收集,而不是简单的字典爆破和搜索引擎收集。
白帽子在信息收集中还使用了四叶草安全的Bugscan工具,而四叶草安全已通过技术手段在第一时间进行检测并对违规使用的账号进行了封停处理,故后续攻击中该白帽子并未继续使用Bugscan进行恶意行为。
在技术方面只是选了几点进行了分析,如果哪位读者有更好的想法可以讨论。另外,如果作为一个受害方,应该如何进行溯源和追踪?作为一个安全厂商,是否哪些地方又应该考虑改进一下产品呢?
总结
1.该白帽子对法律的认知不够,不能够清除明白自己的哪些行为是违法,所以一不小心就会触犯法律。
2.这一行为可能会在普通民众制造一种误解,会给黑客扣上一顶错误的帽子,尤其让其他不明真相的群众以为安全行业从业者平时的工作内容和技术水平就是仅此而已。这里需要特别说明,黑客不是一个贬义词,不是所有的黑客都是干坏事的。
(笔者在最初发现时,就通过直播平台进行了举报,平台实际处理时长约为1个半小时)