主题：【原创】网络安全的故事（一） -- 代码ABC

今天早上出去喝酒，回来已经晚上了，继续和up兄摆阵

1.sql注入只是我的举例，漏洞出现利用也是需要结合和看场景的。例如很多逻辑漏洞平常看起来无害但是一旦被利用很可怕却很难发现，比如我曾经遇见一个SSO系统每个用户登录都会生成一个唯一的sid，但是不幸的是居然sid是可以被猜测，导致黑客可以猜测任意用户，还有比如csrf，引诱管理员看一下，即可拿到某些权限。而且还有一个需要注意的地方企业IT部门一般不可能拿到补丁就立即下发的，而国内那帮黑客有渠道拿到微软MAPP最新发布的信息，几个小时内就能调试出可利用的漏洞，然后拿来攻击。

2.木马不一定打在服务器上，高价值用户也一样有可能，例如高级管理员，公司高层，对付他们比对付服务器更简单。

3.这个理论没问题，不过一般企业网络内最多只能用在一些服务器上，例如数据库。要是全面部署基本不大可能。

小弟也曾经道听途说多次入侵事件，有机会可以说来博大家一笑。