2022 年了，黑客攻击的手段还是 PHP 和 sql 注入那老一套吗？

现在用 php 开发网站的已经很少了吧，前后端分离 docker 微服务大行其道，以前那点手段怕是行不通了吧！

aaa5838769

2022-09-26 23:43:20 +08:00

那不一定，得看 IP 对公网的暴露面有哪些。你只有一个 web 页面，肯定得从 web 入手。

phithon

2022-09-26 23:46:22 +08:00

不是。

PMR

2022-09-26 23:50:52 +08:00

Owasp top 10

crab

2022-09-26 23:59:00 +08:00

注入还是有吧，sqlmap 。

dingwen07

2022-09-27 08:01:29 +08:00

我寻思现在都用 Prepared Statement 的情况下，SQL 注入还可行吗……

pangpre

2022-09-27 08:13:14 +08:00

PHP 攻击是执行 shell 吗？还有其他的吗？

jinliming2

2022-09-27 08:30:13 +08:00

建议以不同语言的框架，加上 CVE 为关键词搜一搜。
即便是其他比较流行的语言，使用的比较就行的框架的最新版本，都可能存在目录遍历、文件访问、任意代码执行之类的漏洞。

比如去年，Java 用的比较流行的 Log4j2 ，去年就爆出了任意代码执行的 0day ，人家控制你服务器打一个访问日志，你的服务器就被控制了……

v2eb

2022-09-27 08:34:50 +08:00

通用中间件和旁路设备的攻击, gov 都演练好多年了

aino

2022-09-27 08:48:35 +08:00

经典永不过时

xiao109

2022-09-27 08:51:57 +08:00

高端的黑客往往使用最朴实的攻击手段

singerll

2022-09-27 08:58:15 +08:00

渗透我只服社会工程学。

Lykos

2022-09-27 09:00:28 +08:00

@xiao109 指买通保安关电源是吧 :)

cat9life

2022-09-27 09:01:22 +08:00

古老的手段不代表没用，有时候注入有奇效，像弱口令一样。不是说“没有技术含量”就没用

sunny1688

2022-09-27 09:16:00 +08:00

和语言有关系吗

julyclyde

2022-09-27 09:16:52 +08:00

这事跟 docker 有啥关系？
就这种“言必称 docker”的菜鸟，才是 bug 的根源

julyclyde

2022-09-27 09:17:28 +08:00

@Lykos 机房录像如果丢失了要赔钱的

NewYear

2022-09-27 09:17:55 +08:00

我这边是制造业中等偏小的企业，用的大厂的产品（私有部署），最坑的就是 web 端，Java 语言，各种漏洞，各种补丁，没有自动补丁功能，全手工,很难想象很多没有专业技能的企业，如何应对得过去。

HugoChao

2022-09-27 09:21:50 +08:00

词典刷弱口令肯定没过时

xdzhang

2022-09-27 09:24:16 +08:00

天天一堆尝试 www.rar www.zip bak.zip .gz 的，都无语了。

raysonlu

2022-09-27 09:24:42 +08:00

DD 才是流氓

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/883157

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.