SQL注入說到底只是一種入侵手段,而除非黑客對網站本身的權限和密碼感興趣,否則就還會有後續步驟和目的。本書最新免費章節請訪問。
大聖商貿這里遇到的應該就是後一種。黑客利用這種方式控制訪問該網站的個人電腦或其他終端,然後收集這些終端的數據。
被收集了數據的個人電腦和終端將被黑客隱秘的控制,成為一台「肉雞」。而以後,當黑客想要對某些網站發動洪水攻擊時,便能方便利用到這些肉雞。或者也可以在其他攻擊中使用肉雞當跳板。
讓鐘錦感到奇怪的是,這樣一個小公司的內部網站,究竟有什麼注入價值。其獨立訪問量可能一天都不過百,而且大多時候來源是同樣的電腦,所以通過這種注入惡意腳本的方式能控制的電腦實在有限。
這樣不會很不值得嗎?
不過她並沒有繼續想下去。反正齊輝找她來只是為了解決問題,她也就專心于此便好。
遭到SQL注入之後標準的事件響應方式包括三部分︰
一、關閉網站
二、查看IIS日志,查找引起攻擊的漏洞源網頁
三、增強改進SP頁面,防堵漏洞。注1
不過這三部是屬于危機響應的方案,亡羊補牢的意味大于解決問題,治標不治本。網站切斷了外部鏈接之後等于關閉,只有內部ip可以連接。然後通過日志查找,鐘錦很快確定了漏洞所在頁面。
仔細瀏覽了前後台代碼之後,鐘錦發現這個漏洞十分明顯,而且修改起來並不困難。
「注入點我已經找到了,看這里,是存儲過程使用執行命令的參數問題。這里參數不要直接寫入,要用傳參……」
鐘錦一邊說,一邊迅速改動著文檔,沒幾分鐘就完成修改。刷洗頁面之後,與原來無異。但是通過簡單的驗證之後發現,頁面已經無法進行注入攻擊。
齊輝畢竟實習這麼久,鐘錦做了一步他就看明白了。
「不過你們網站里類似的漏洞還不少,估計所有的存儲程序都要梳理一遍。」鐘錦提示齊輝,「否則再次打開公共訪問之後,攻擊還會出現。」
齊輝點頭︰「知道怎麼修改堵漏洞就行,剩下的我慢慢來吧,正好可以找老板要加班工資。」
說完三個人都笑了。
「我再幫你查一下有沒有其他種類漏洞。」鐘錦說著打開自己的網盤,從里面拖了一個掃描器出來。
雖然是小公司的內部站,但也並不是簡單的幾個表格幾個頁面組成的。前台後台加起來上千個文件,光是基本表格就有幾十張張,而大量的sql存儲過程最可能隱含可注入點。鐘錦要是想全部看完根本不現實,而這種原本用于黑客攻擊的掃描手段卻是此刻最合適的。
鐘錦所用的掃描器是在國內較為有名的黑客論壇下到的,不過對漏洞和字典的更新則由她自己進行。其實掃描器本身並不重要,關鍵是其中應用到的漏洞。對于大多數黑客的攻擊來講都是如此。誰掌握了最新的,無人知道的漏洞,誰便能在黑客戰爭中拔得頭籌。這也是為什麼0dy(沒有補丁的漏洞利用程序)如此重要,人人爭搶。
掃描的速度很快,返回的注入文件、注入點類型和數目都一條條清晰顯示在了軟件中。
根據結果,鐘錦判斷原本公司外包建立的基礎數據庫網站還算過得去,數據庫表格的建立和各種調用選擇,與前台算法和交流都算得上中規中矩,並且不算特別落伍。也因此可注入點十分少,就算有也都是後來發現的漏洞,甚至是極少有人知道的注入點。
然而在大聖公司進行獨立開發之後,新增加的功能和頁面中則出現了大量的五花八滿的漏洞。有些注入點十分明顯簡單,幾乎是人人皆知。鐘錦實在沒有想到數據庫編程發展到今天,還會有人犯如此低級的錯誤。
不過這也不難理解,不看漏洞,單看代碼本身,大聖商貿的內部網站也已經成了一場災難。因為經手的人太多,而且都是沒經驗的在校實習生,于是便產生了大量的冗余文件,並且代碼臃腫,算法毫無簡潔快速可言。鐘錦甚至在一個文件里看到了四重循環。也就是這網站的數據庫還不算特別大,又是內部網站訪問量有限,否則早就卡死了。
這樣的開發導致系統脆弱得跟篩子似的,隨處可見破綻。
鐘錦不是傻子,沒可能給人做白功,從根本上梳理整頓補上所有漏洞。事實上,想要真正的治標,這個網站幾乎可以從新架構了。齊輝也清楚這一點,並且十分贊同,按他的話說,沒道理拿著治標的錢干著治本的活。
既然如此,鐘錦也就不多事。
畢竟,她還一分錢沒拿,純粹友情登場呢。
鐘錦將每一個漏洞都選擇了一份文件進行修補示範,並告訴齊輝文件里的可注入點,以及原理。直到完成這些,她才站起身來。
「剩下就靠你自己咯!」
齊輝狂點頭︰「大神放心吧!」
齊輝送鐘錦和賈小蕊離開,路上問起關于TF比賽的事情。
「大神,今年你參加不?」他問,「我听說大軍他們要找人組隊參加呢。」大軍也是他們實驗室的,比兩個人小一屆,今年大二。平時非常活躍,經常參加各種校內校外的計算機或網絡比賽。
鐘錦道︰「不知道呢,他們沒和我說。」
齊輝慫恿她︰「那你問問他們?反正組隊參加,據說拿到分數可以加學分呢!」
賈小蕊道︰「真的假的?那我也要!」
齊輝和她聊得也熟了,知道她大概什麼水平,便直接道︰「你就是參加也拿不到分,別湊熱鬧了!」
「哼。」賈小蕊也清楚自己斤兩,並不以為忤。雖然沒听說過這個TF比賽,但是從他們剛才聊天的內容來看,恐怕不會容易。
鐘錦笑了笑︰「其實想比賽,未必要去玩TF。這學期不是學校的游戲實驗室要辦游戲大賽嗎?一個周末兩天的時間,組隊或者單人做一款游戲,不限平台不限方式,最後看誰的游戲最受歡迎,最有創意。」
賈小蕊想了想︰「好像也挺有意思。」
「而且你畫畫好,可以和人組隊。畢竟對游戲來講,美工還是挺重要的。」鐘錦道。
賈小蕊眼楮亮了起來︰「鐘錦!陪我玩這個!」
鐘錦想了想點頭︰「行。」
齊輝也道︰「那要不我也跟著摻一腳?」
三人說著便定下來,由齊輝負責安排報名。現在開學已經三個星期多,距離比賽日期還有一個半月左右,雖然時間有點緊,但是只要游戲創意確定下來,其他準備工作倒也不需要做太多。若是有電子元件或者設備需要采購,從學校去電腦城也並不遠,十分方便。
鐘錦陪著賈小蕊去到本城鬧市區的隻果店。後者早就看中了13寸的Bkir,到那邊沒費什麼話大概看了看就直接買下來了。店里的「隻果天才」教了她最新的系統使用,手勢及界面切換方法等,賈小蕊玩得不亦樂乎。
電腦買的順利,賈小蕊又提議吃個飯然後去看電影。按照她的話講,周末大好時光不能浪費。鐘錦笑她就這樣還想做黑客,做大牛,賈小蕊憤怒反駁,勵志從明天開始努力。
等她們回到學校時已經是晚上七點多了。
「齊輝建了個Q群組,要拉你進來方便討論比賽的事情。」鐘錦看電腦上齊輝的留言。她和齊輝彼此互加了QQ所以已經被拉進組里,但是他沒有賈小蕊的QQ,只能問鐘錦要。
賈小蕊道︰「行啊,我去加。」
說完她又問鐘錦︰「你說咱們做個什麼游戲好呢?」