小欣：这节课，张雪松老师会为我们讲解企业遭遇黑客的原罪：漏洞。

张雪松：黑客是一项复杂的技术，更多的是一种思维模式和技术手段的结合。黑客在进行一次入侵和攻击时实际上在做非常多的事情，当然这些事情是有些最本质的核心点的。

我们可以发现，在这个过程的核心环节是什么？那就是去寻找漏洞。因为黑客的技术就是嫁接在漏洞之上，如果说你没有漏洞那黑客就很难去发挥。黑客所有的思维模式都是去找漏洞，利用这些漏洞来实现更多的权限、实现更多的黑客手段。我们就拿几个点来讲。

管理漏洞。这个可以非常简单的理解就是企业的管理，包括人员的漏洞。这里有一个最经典的攻击方式就是客服攻击。因为有很多网站提供客服人工的申诉，比如说：我要修改密码但密码忘记了，手机也找不到了，我要申诉。

而这个时候就要对客服进行社会工程学的攻击，黑客通过收集大量被攻击者的信息利用社会工程学的方法，让客服把目标账号的密码给重置从而获得重要的账号。

逻辑漏洞。我们很多的网站有支付功能，在支付流程中网站需要进行多次确认。如果网站开发时没有很完备的流程设计和审计，这时黑客把数据包改一下，前面下订单的时候是99元支付的时候只需1块钱就支付成功了，这样就产生了逻辑漏洞，也就是最经典的1元买iphone的漏洞。

提权漏洞。这类漏洞也很常见。黑客可以利用系统机制，获取到系统管理员的权限，这时就可以对系统进行最高级别的命令执行，从而下载数据库或植入木马。

防护漏洞。这类漏洞是大家经常会遗忘的，就是我们所用的这些防火墙、安全设备或者说安全方案，其实里面也是有漏洞的，黑客也可以利用这些漏洞进行入侵。越是我们信任的环节往往造成的危害越大。

我们综合来看黑客在进行攻击的时候，最核心的目标是什么？他就是去寻找你所有的漏洞，把所有的相关信息收集起来，然后做成一个作战地图，根据这张作战地图去分析你在整个数据保护、信息架构等层面存在的漏洞。

然后会根据这些漏洞进行尝试，当然这些漏洞有技术上的漏洞，也有思维上的漏洞，还有相关流程和规则上的漏洞，只要黑客足够有耐心，就能确保可以攻陷系统。

小欣：下节课，张雪松老师会为我们讲解漏洞产生的原因。

【版权归钛媒体所有，未经许可不得转载】