sql注入說到底只是一種入侵手段,而除非黑客對網(wǎng)站本身的權(quán)限和密碼感興趣,否則就還會(huì)有后續(xù)步驟和目的。
大圣商貿(mào)這里遇到的應(yīng)該就是后一種。黑客利用這種方式控制訪問該網(wǎng)站的個(gè)人電腦或其他終端,然后收集這些終端的數(shù)據(jù)。
被收集了數(shù)據(jù)的個(gè)人電腦和終端將被黑客隱秘的控制,成為一臺(tái)“肉雞”。而以后,當(dāng)黑客想要對某些網(wǎng)站發(fā)動(dòng)洪水攻擊時(shí),便能方便利用到這些肉雞;蛘咭部梢栽谄渌糁惺褂萌怆u當(dāng)跳板。
讓鐘錦感到奇怪的是,這樣一個(gè)小公司的內(nèi)部網(wǎng)站,究竟有什么注入價(jià)值。其獨(dú)立訪問量可能一天都不過百,而且大多時(shí)候來源是同樣的電腦,所以通過這種注入惡意腳本的方式能控制的電腦實(shí)在有限。
這樣不會(huì)很不值得嗎?
不過她并沒有繼續(xù)想下去。反正齊輝找她來只是為了解決問題,她也就專心于此便好。
遭到sql注入之后標(biāo)準(zhǔn)的事件響應(yīng)方式包括三部分:
一、關(guān)閉網(wǎng)站
二、查看iis日志,查找引起攻擊的漏洞源網(wǎng)頁
三、增強(qiáng)改進(jìn)asp頁面,防堵漏洞!咀1】
不過這三部是屬于危機(jī)響應(yīng)的方案,亡羊補(bǔ)牢的意味大于解決問題,治標(biāo)不治本。網(wǎng)站切斷了外部鏈接之后等于關(guān)閉,只有內(nèi)部ip可以連接。然后通過日志查找,鐘錦很快確定了漏洞所在頁面。
仔細(xì)瀏覽了前后臺(tái)代碼之后,鐘錦發(fā)現(xiàn)這個(gè)漏洞十分明顯,而且修改起來并不困難。
“注入點(diǎn)我已經(jīng)找到了,看這里,是存儲(chǔ)過程使用執(zhí)行命令的參數(shù)問題。這里參數(shù)不要直接寫入,要用傳參……”
鐘錦一邊說,一邊迅速改動(dòng)著文檔,沒幾分鐘就完成修改。刷洗頁面之后,與原來無異。但是通過簡單的驗(yàn)證之后發(fā)現(xiàn),頁面已經(jīng)無法進(jìn)行注入攻擊。
齊輝畢竟實(shí)習(xí)這么久,鐘錦做了一步他就看明白了。
“不過你們網(wǎng)站里類似的漏洞還不少,估計(jì)所有的存儲(chǔ)程序都要梳理一遍!辩婂\提示齊輝,“否則再次打開公共訪問之后,攻擊還會(huì)出現(xiàn)。”
齊輝點(diǎn)頭:“知道怎么修改堵漏洞就行,剩下的我慢慢來吧,正好可以找老板要加班工資!
說完三個(gè)人都笑了。
“我再幫你查一下有沒有其他種類漏洞!辩婂\說著打開自己的網(wǎng)盤,從里面拖了一個(gè)掃描器出來。
雖然是小公司的內(nèi)部站,但也并不是簡單的幾個(gè)表格幾個(gè)頁面組成的。前臺(tái)后臺(tái)加起來上千個(gè)文件,光是基本表格就有幾十張張,而大量的sql存儲(chǔ)過程最可能隱含可注入點(diǎn)。鐘錦要是想全部看完根本不現(xiàn)實(shí),而這種原本用于黑客攻擊的掃描手段卻是此刻最合適的。
鐘錦所用的掃描器是在國內(nèi)較為有名的黑客論壇下到的,不過對漏洞和字典的更新則由她自己進(jìn)行。其實(shí)掃描器本身并不重要,關(guān)鍵是其中應(yīng)用到的漏洞。對于大多數(shù)黑客的攻擊來講都是如此。誰掌握了最新的,無人知道的漏洞,誰便能在黑客戰(zhàn)爭中拔得頭籌。這也是為什么0day(沒有補(bǔ)丁的漏洞利用程序)如此重要,人人爭搶。
掃描的速度很快,返回的注入文件、注入點(diǎn)類型和數(shù)目都一條條清晰顯示在了軟件中。
根據(jù)結(jié)果,鐘錦判斷原本公司外包建立的基礎(chǔ)數(shù)據(jù)庫網(wǎng)站還算過得去,數(shù)據(jù)庫表格的建立和各種調(diào)用選擇,與前臺(tái)算法和交流都算得上中規(guī)中矩,并且不算特別落伍。也因此可注入點(diǎn)十分少,就算有也都是后來發(fā)現(xiàn)的漏洞,甚至是極少有人知道的注入點(diǎn)。
然而在大圣公司進(jìn)行獨(dú)立開發(fā)之后,新增加的功能和頁面中則出現(xiàn)了大量的五花八滿的漏洞。有些注入點(diǎn)十分明顯簡單,幾乎是人人皆知。鐘錦實(shí)在沒有想到數(shù)據(jù)庫編程發(fā)展到今天,還會(huì)有人犯如此低級(jí)的錯(cuò)誤。
不過這也不難理解,不看漏洞,單看代碼本身,大圣商貿(mào)的內(nèi)部網(wǎng)站也已經(jīng)成了一場災(zāi)難。因?yàn)榻?jīng)手的人太多,而且都是沒經(jīng)驗(yàn)的在校實(shí)習(xí)生,于是便產(chǎn)生了大量的冗余文件,并且代碼臃腫,算法毫無簡潔快速可言。鐘錦甚至在一個(gè)文件里看到了四重循環(huán)。也就是這網(wǎng)站的數(shù)據(jù)庫還不算特別大,又是內(nèi)部網(wǎng)站訪問量有限,否則早就卡死了。
這樣的開發(fā)導(dǎo)致系統(tǒng)脆弱得跟篩子似的,隨處可見破綻。
鐘錦不是傻子,沒可能給人做白功,從根本上梳理整頓補(bǔ)上所有漏洞。事實(shí)上,想要真正的治標(biāo),這個(gè)網(wǎng)站幾乎可以從新架構(gòu)了。齊輝也清楚這一點(diǎn),并且十分贊同,按他的話說,沒道理拿著治標(biāo)的錢干著治本的活。
既然如此,鐘錦也就不多事。
畢竟,她還一分錢沒拿,純粹友情登場呢。
鐘錦將每一個(gè)漏洞都選擇了一份文件進(jìn)行修補(bǔ)示范,并告訴齊輝文件里的可注入點(diǎn),以及原理。直到完成這些,她才站起身來。
“剩下就靠你自己咯!”
齊輝狂點(diǎn)頭:“大神放心吧!”
齊輝送鐘錦和賈小蕊離開,路上問起關(guān)于ctf比賽的事情。
“大神,今年你參加不?”他問,“我聽說大軍他們要找人組隊(duì)參加呢!贝筌娨彩撬麄儗(shí)驗(yàn)室的,比兩個(gè)人小一屆,今年大二。平時(shí)非常活躍,經(jīng)常參加各種校內(nèi)校外的計(jì)算機(jī)或網(wǎng)絡(luò)比賽。
鐘錦道:“不知道呢,他們沒和我說!
齊輝慫恿她:“那你問問他們?反正組隊(duì)參加,據(jù)說拿到分?jǐn)?shù)可以加學(xué)分呢!”
賈小蕊道:“真的假的?那我也要!”
齊輝和她聊得也熟了,知道她大概什么水平,便直接道:“你就是參加也拿不到分,別湊熱鬧了!”
“哼!辟Z小蕊也清楚自己斤兩,并不以為忤。雖然沒聽說過這個(gè)ctf比賽,但是從他們剛才聊天的內(nèi)容來看,恐怕不會(huì)容易。
鐘錦笑了笑:“其實(shí)想比賽,未必要去玩ctf。這學(xué)期不是學(xué)校的游戲?qū)嶒?yàn)室要辦游戲大賽嗎?一個(gè)周末兩天的時(shí)間,組隊(duì)或者單人做一款游戲,不限平臺(tái)不限方式,最后看誰的游戲最受歡迎,最有創(chuàng)意。”
賈小蕊想了想:“好像也挺有意思!
“而且你畫畫好,可以和人組隊(duì)。畢竟對游戲來講,美工還是挺重要的!辩婂\道。
賈小蕊眼睛亮了起來:“鐘錦!陪我玩這個(gè)!”
鐘錦想了想點(diǎn)頭:“行!
齊輝也道:“那要不我也跟著摻一腳?”
三人說著便定下來,由齊輝負(fù)責(zé)安排報(bào)名,F(xiàn)在開學(xué)已經(jīng)三個(gè)星期多,距離比賽日期還有一個(gè)半月左右,雖然時(shí)間有點(diǎn)緊,但是只要游戲創(chuàng)意確定下來,其他準(zhǔn)備工作倒也不需要做太多。若是有電子元件或者設(shè)備需要采購,從學(xué)校去電腦城也并不遠(yuǎn),十分方便。
鐘錦陪著賈小蕊去到本城鬧市區(qū)的蘋果店。后者早就看中了13寸的macbookair,到那邊沒費(fèi)什么話大概看了看就直接買下來了。店里的“蘋果天才”教了她最新的系統(tǒng)使用,手勢及界面切換方法等,賈小蕊玩得不亦樂乎。
電腦買的順利,賈小蕊又提議吃個(gè)飯然后去看電影。按照她的話講,周末大好時(shí)光不能浪費(fèi)。鐘錦笑她就這樣還想做黑客,做大牛,賈小蕊憤怒反駁,勵(lì)志從明天開始努力。
等她們回到學(xué)校時(shí)已經(jīng)是晚上七點(diǎn)多了。
“齊輝建了個(gè)q群組,要拉你進(jìn)來方便討論比賽的事情!辩婂\看電腦上齊輝的留言。她和齊輝彼此互加了qq所以已經(jīng)被拉進(jìn)組里,但是他沒有賈小蕊的qq,只能問鐘錦要。
賈小蕊道:“行啊,我去加!
說完她又問鐘錦:“你說咱們做個(gè)什么游戲好呢?”
作者有話要說:注1:
雖然標(biāo)題是黑客,但是其實(shí)網(wǎng)絡(luò),游戲,系統(tǒng)等等都會(huì)涉及。。
千萬別忘了我寫的是近未來科幻oiz
最后ctf比賽的事情后面會(huì)寫到所以這里先不詳細(xì)介紹啦,有興趣可以自己查查看,很好玩很牛x的比賽