黑客培训记实(6)

黑客培训记实

State tracking

Cookies

在下午的 攻击实践中，我们真正领略到了网站攻击的威力。只要具有正确的思维和必要的技能，一个哪怕是只存在一个安全漏洞的网站服务器都会成为攻击者的牺牲品。同时 我们也发现了互联网上存在着许多有着显著安全漏洞的网站，值得一提的是，有相当多的网站还是电子商务网站，有经验的攻击者完全可以对这些网站进行攻击以完 全免费代价享受网站所提供的各种收费服务甚至是购买价值不菲的实物。

这也不得不让我们所有的安全专家提高警惕：在实践中对这样的系统进行 安全加固时，不仅要保证其主机系统的安全，还有必要对在其基础上所运行的网站程序进行系统和长期的漏洞检测与管理。当然还需要对程序员进行有效的安全编程 教育和培训。只有通过建议一个可控制的系统的风险管理机制，才可以让企业内的网络管理员和程序开发人员掌握到必要的安全信息和漏洞情况，才能让各部门正确 的承担自己的责任，让企业尽可能的降低程序的漏洞和被攻击的风险。

第5天举行Ultimate Lab实战大挑战

最后一 天是针对学员这前四天所学习的技能进行一次全面的演练。我们将利用这一整天的时间对由路由器、防火墙、NT/2000、Unix 及Web网站组成的综合目标进行最后的攻击。由于其最终目标的实现极具挑战性，老师明确要求了我们必须以团队合作的方式来完成数小时的实战演练。在最后的 攻击演练中要求我们运用的技能包括了以下方面：

Ultimate Hacking：Hands On 实战项目

UNIX 系统安全实战部分

Enumerating UNIX hosts

UNIX brute force attacks

Execution of buffer overflow attack

Execution of input validation attack

Attacking SSL servers

Creating back channels using reverse telnets and X-windows Execution of remote attacks

Abusing nfs

Exploiting X-windows insecurities

Grabbing keystrokes from another machine

Cracking UNIX password files

Hiding TCP traffic in ICMP packets

Perform network sniffing

Perform session hijacking

NT/2000 系统安全实战