黑客怎樣攻擊網站數據庫，拖庫後如何獲利，又該如何防範呢？

方法有非常多，很多都是因為使用大量開源的系統，或是別人開發的系統。

原因1：這些系統源碼很多都是在互聯網公開的，可以被別人研究的。

原因2：很多朋友為了節省成本，架設系統進行業務的時候，往往忽略了安全性，沒有專門的技術人員負責安全工作，也不做代碼的審計，進而導致的。

獲利的方式有很多種的，比如：可以把拿到的數據庫進行銷售變現，也有很多會去放後門啥的，總之獲利的方式非常多，這個需要根據不同的站，獲利的方式也是各不相同的。

應該如何防範呢？要想防範，就得先知道對方是如何搞妳的，才能很好的防範，這裏給出壹些常見的攻擊手段，了解了攻擊手段才能很好的進行防範工作。

大部分網站設計更多是考慮用戶業務的實現，而軟件開發商和網站的系統運維人員對攻擊技術和網站的維護並不了解，在使用的過程中未能發現可能存在的安全漏洞。黑客壹般可以較好利用這些漏洞為自己謀取利益。

目前比較常見的分析方法通常有以下幾種

1、窮舉猜測後臺地址

大家要養成壹個小小的習慣。把壹些上傳的地址。後臺地址。表段記錄下來。是有好處的，也可以去下些別人收集的字典。配合wwwscan啊D黑客動畫巴明小子旁註之類的工具去掃描。不過成功機率不是很高（壹般管理都是根據自己的習慣亂寫的）當然掃下總有好處的。說不定就會掃到後臺或上傳路徑。

2、利用比較常見的開源系統，通常同壹類型的系統，都是有很多***性的

最經典的就是dede，後臺就是/dede。除此之外，還有像Discuz就是admin。php，Joomla就是/administrator，wordpress就是/wp-admin。

國內的CMS通常就是/admin和/manage或者/login，這樣主要還是為了讓管理員登陸起來比較方便。

如果已知這是個什麽CMS，但是卻不知道它的後臺登陸入口，不妨去它的官網或者壹些下載站下載源碼，看看都有哪些路徑。

3、合理利用搜索引擎語法，快速尋找後臺管理地址。

Google Hacking基本用法：

1、inurl：用於搜索網頁上包含的URL。這個語法對尋找網頁上的搜索，幫助之類的很有用。

2、intitle：限制妳搜索的網頁標題。

3、intext：搜索網頁部分包含的文字內容（也就是忽略了標題，URL等文字）。

4、site：限制妳搜索範圍的域名。

5、allintitle：搜索所有關鍵字構成標題的網頁。

6、link：搜索所有關鍵字構成標題的網頁。

7、filetype：搜索文件的後綴或者擴展名。

Google Hacking的具體運用

1、搜索網址中包含admin字符的網站：inurl：admin

2、搜索網址中包含login字符的網站：inurl：login

3、搜索網址中包含site： inurl：admin字符的網站：site： inurl：admin

合理利用搜索引擎可以有非常好的效果

4、利用nmap檢測服務器開發的其他端口。

目前在市面上主要的端口掃描工具是X_Scan、SuperScan、nmap，其中在這裏主推的是nmap

Nmap包含四項基本功能：

主機發現（Host Discovery）

端口掃描（Port Scanning）

版本偵測（Version Detection）

操作系統偵測（Operating System Detection）

現在大部分Linux的發行版本像Red Hat，CentOS，Fedoro

Debian和Ubuntu在其默認的軟件包管理庫（即Yum和 APT）中都自帶了Nmap。

5、利用嗅探技術，快速獲取到對應的管理地址

這種技術比較高端，就是通過旁站攔截管理地址，這裏就需要很多成本了。

比如采購到旁站服務器，這個是最關鍵的。

有了旁站服務器就非常簡單了，架設攔截環境，就可以嗅探到相關的後端地址了。

上篇: 如何評價《鄉村愛情9》這個電視劇？ 下篇: 專業修圖軟件有哪些