我相信安全行业的人士无一不会赞同这句话，这也是我们所有安全人员需要谨记的一句话。

如同一众解密闯关类游戏一样，在渗透测试的过程中，我们往往需要通过大量的信息收集工作来筛选出有用的信息，并在这些信息的基础上去思考应该使用什么样的方法去进行渗透测试工作。

其实无论是攻击还是防御，都离不开信息收集，可以说，我们的每一步动作都是建立在前一步的信息收集上，信息收集贯穿着我们从前端到内网的每一个环节，每一个步骤。

首先正常情况下，黑客肯定不是像影视剧一样，随便一顿猛敲键盘，就给人家网站入侵了，这种情况只存在电影里面，实际情况大多数黑客都是被防火墙和系统权限限制给搞得焦头烂额，现在就来介绍一下黑客通常是用什么方法入侵服务器的。

1.漏洞利用：主要是利用服务器系统和第三方软件或网站程序中的漏洞，从而获得服务器权限，控制服务器，或者外泄数据，避免这种情况可以去官方下载正版系统，使用正版有安全性的网站程序。

2.社会工程学攻击：使用社会工程学的技术，如钓鱼邮件、假电话或网络聊天，以及虚假文件，来让目标放弃登录密码，从而进行侵入，这种比较少。

暴力破解后台账号密码

攻击者利用穷举法、字典法等破解方法破解服务器账号密码，从而获取服务器权限，避免这种情况就是要把后台登录地址隐藏，不要使用默认的admin或者admin123类的，还要严格限制网站注册用户的权限。

弱口令攻击：攻击者利用服务器弱口令，如明文的密码，简单的密码等，来登录服务器，获取服务器权限。

总结九点入侵方法，注意防范

1.计算机受控于网络外的病毒或木马程序。

2.远程攻击，例如暴力破解用户名和密码的网络服务器。

3.社会工程学攻击，例如利用用户的信任来获取服务器的访问权限。

4.运行未受信任的应用程序。

5.利用系统的漏洞，例如过时的软件或操作系统，以及没有及时更新的安全补丁。

6.不当的网络设置，如弱口令或不安全的访问控制设置。

7.不小心给黑客提供进入服务器的机会，如在未经安全检查的网络上展示服务器。

8.在未经认证的网络上使用未加密的协议。

9.使用已知有漏洞的软件。