最好别做工具流

下午有个人问我: 说网站注入有没有什么最新的好工具
我说手工注入
良久.. 扔过来一句话:"我怎么没找着这种工具呢?"

现在发现玩黑客的都被工具化了,比如上次和我纠结的那个人,一上来就问我:"你知道穿山甲最高版本是什么么,你知道什么是穿山甲么?"
抱歉.. 我还真不太了解... 因为我很少用工具, 用工具也就那么一两个
啊D, 明小子, C类旁注大杀器, WSockExpert...

因为注入的基本原理都是一样的, 再好的工具也是用的那个原理, 无非就是加了点小功能
保存webshell? 扫弱口令? 有用么?

其实作为一个做技术的, 工具是其次, 原理才是最重要的.. 就好比你是一个士兵.. 只懂的用剑, 如果哪天剑没了. 你就不会用自己的拳头了吗?
这就造成了国内许许多多小黑客, 离了工具就活不了了, 所以他们无法在技术上变通, 一个网站, 工具扫描出没有注入.. 你就无能为力了?

1. 找网站后台的编辑器漏洞
2. 猜网站管理的目录, 比如一些left, 有些程序员根本没做验证, 你直接就可以列出后台目录
3. 找上传漏洞, 插一句话
4. 猜数据库
5. 后台的弱口令
6. 跨站XSS
7. Cookie注入
8. 社工

等等等等... 这只不过冰山一角, 高手还可以给你列出更多, 而这些作为一个只会用工具的人是不会明白的
不懂sql语句的人永远别说自己会黑站
不懂网络架构的人永远别说自己会渗透
不懂网络协议的人永远别说自己会挂马
只会用工具的人永远别说自己是黑客
 

Tags: 黑客  互联网  随手笔记  
相关日志:

中国的网站缺乏用户体验性  (2010-3-7 21:32:27)

逛了一天电子城  (2010-3-7 20:52:47)

社工是门艺术  (2010-3-3 23:49:25)

远离入侵做好人  (2010-3-2 22:58:22)

百度莫非是手动抓取了?  (2010-3-1 22:31:59)

刚看了3D阿凡达  (2010-2-28 20:39:35)

年后  (2010-2-26 18:50:6)

随手笔记  (2010-2-24 19:34:45)

黑鹰安全网被封  (2010-2-10 10:39:26)

关于搞完人家网站挂黑页的  (2010-2-5 8:24:44)