sql注入說到底只是一種入侵手段,而除非黑客對網站本身的權限和密碼感興趣,否則就還會有後續步驟和目的。
大聖商貿這裡遇到的應該就是後一種。黑客利用這種方式控制訪問該網站的個人電腦或其他終端,然後收集這些終端的數據。
被收集了數據的個人電腦和終端將被黑客隱秘的控制,成爲一臺“肉雞”。而以後,當黑客想要對某些網站發動洪水攻擊時,便能方便利用到這些肉雞。或者也可以在其他攻擊中使用肉雞當跳板。
讓鍾錦感到奇怪的是,這樣一個小公司的內部網站,究竟有什麼注入價值。其獨立訪問量可能一天都不過百,而且大多時候來源是同樣的電腦,所以通過這種注入惡意腳本的方式能控制的電腦實在有限。
這樣不會很不值得嗎?
不過她並沒有繼續想下去。反正齊輝找她來只是爲了解決問題,她也就專心於此便好。
遭到sql注入之後標準的事件響應方式包括三部分:
一、關閉網站
二、查看iis日誌,查找引起攻擊的漏洞源網頁
三、增強改進asp頁面,防堵漏洞。【注1】
不過這三部是屬於危機響應的方案,亡羊補牢的意味大於解決問題,治標不治本。網站切斷了外部鏈接之後等於關閉,只有內部ip可以連接。然後通過日誌查找,鍾錦很快確定了漏洞所在頁面。
仔細瀏覽了前後臺代碼之後,鍾錦發現這個漏洞十分明顯,而且修改起來並不困難。
“注入點我已經找到了,看這裡,是存儲過程使用執行命令的參數問題。這裡參數不要直接寫入,要用傳參……”
鍾錦一邊說,一邊迅速改動着文檔,沒幾分鐘就完成修改。刷洗頁面之後,與原來無異。但是通過簡單的驗證之後發現,頁面已經無法進行注入攻擊。
齊輝畢竟實習這麼久,鍾錦做了一步他就看明白了。
“不過你們網站裡類似的漏洞還不少,估計所有的存儲程序都要梳理一遍。”鍾錦提示齊輝,“否則再次打開公共訪問之後,攻擊還會出現。”
齊輝點頭:“知道怎麼修改堵漏洞就行,剩下的我慢慢來吧,正好可以找老闆要加班工資。”
說完三個人都笑了。
“我再幫你查一下有沒有其他種類漏洞。”鍾錦說着打開自己的網盤,從裡面拖了一個掃描器出來。
雖然是小公司的內部站,但也並不是簡單的幾個表格幾個頁面組成的。前臺後臺加起來上千個文件,光是基本表格就有幾十張張,而大量的sql存儲過程最可能隱含可注入點。鍾錦要是想全部看完根本不現實,而這種原本用於黑客攻擊的掃描手段卻是此刻最合適的。
鍾錦所用的掃描器是在國內較爲有名的黑客論壇下到的,不過對漏洞和字典的更新則由她自己進行。其實掃描器本身並不重要,關鍵是其中應用到的漏洞。對於大多數黑客的攻擊來講都是如此。誰掌握了最新的,無人知道的漏洞,誰便能在黑客戰爭中拔得頭籌。這也是爲什麼0day(沒有補丁的漏洞利用程序)如此重要,人人爭搶。
掃描的速度很快,返回的注入文件、注入點類型和數目都一條條清晰顯示在了軟件中。
根據結果,鍾錦判斷原本公司外包建立的基礎數據庫網站還算過得去,數據庫表格的建立和各種調用選擇,與前臺算法和交流都算得上中規中矩,並且不算特別落伍。也因此可注入點十分少,就算有也都是後來發現的漏洞,甚至是極少有人知道的注入點。
然而在大聖公司進行獨立開發之後,新增加的功能和頁面中則出現了大量的五花八滿的漏洞。有些注入點十分明顯簡單,幾乎是人人皆知。鍾錦實在沒有想到數據庫編程發展到今天,還會有人犯如此低級的錯誤。
不過這也不難理解,不看漏洞,單看代碼本身,大聖商貿的內部網站也已經成了一場災難。因爲經手的人太多,而且都是沒經驗的在校實習生,於是便產生了大量的冗餘文件,並且代碼臃腫,算法毫無簡潔快速可言。鍾錦甚至在一個文件裡看到了四重循環。也就是這網站的數據庫還不算特別大,又是內部網站訪問量有限,否則早就卡死了。
這樣的開發導致系統脆弱得跟篩子似的,隨處可見破綻。
鍾錦不是傻子,沒可能給人做白功,從根本上梳理整頓補上所有漏洞。事實上,想要真正的治標,這個網站幾乎可以從新架構了。齊輝也清楚這一點,並且十分贊同,按他的話說,沒道理拿着治標的錢幹着治本的活。
既然如此,鍾錦也就不多事。
畢竟,她還一分錢沒拿,純粹友情登場呢。
鍾錦將每一個漏洞都選擇了一份文件進行修補示範,並告訴齊輝文件裡的可注入點,以及原理。直到完成這些,她才站起身來。
“剩下就靠你自己咯!”
齊輝狂點頭:“大神放心吧!”
齊輝送鍾錦和賈小蕊離開,路上問起關於ctf比賽的事情。
“大神,今年你參加不?”他問,“我聽說大軍他們要找人組隊參加呢。”大軍也是他們實驗室的,比兩個人小一屆,今年大二。平時非常活躍,經常參加各種校內校外的計算機或網絡比賽。
鍾錦道:“不知道呢,他們沒和我說。”
齊輝慫恿她:“那你問問他們?反正組隊參加,據說拿到分數可以加學分呢!”
賈小蕊道:“真的假的?那我也要!”
齊輝和她聊得也熟了,知道她大概什麼水平,便直接道:“你就是參加也拿不到分,別湊熱鬧了!”
“哼。”賈小蕊也清楚自己斤兩,並不以爲忤。雖然沒聽說過這個ctf比賽,但是從他們剛纔聊天的內容來看,恐怕不會容易。
鍾錦笑了笑:“其實想比賽,未必要去玩ctf。這學期不是學校的遊戲實驗室要辦遊戲大賽嗎?一個週末兩天的時間,組隊或者單人做一款遊戲,不限平臺不限方式,最後看誰的遊戲最受歡迎,最有創意。”
賈小蕊想了想:“好像也挺有意思。”
“而且你畫畫好,可以和人組隊。畢竟對遊戲來講,美工還是挺重要的。”鍾錦道。
賈小蕊眼睛亮了起來:“鍾錦!陪我玩這個!”
鍾錦想了想點頭:“行。”
齊輝也道:“那要不我也跟着摻一腳?”
三人說着便定下來,由齊輝負責安排報名。現在開學已經三個星期多,距離比賽日期還有一個半月左右,雖然時間有點緊,但是隻要遊戲創意確定下來,其他準備工作倒也不需要做太多。若是有電子元件或者設備需要採購,從學校去電腦城也並不遠,十分方便。
鍾錦陪着賈小蕊去到本城鬧市區的蘋果店。後者早就看中了13寸的macbookair,到那邊沒費什麼話大概看了看就直接買下來了。店裡的“蘋果天才”教了她最新的系統使用,手勢及界面切換方法等,賈小蕊玩得不亦樂乎。
電腦買的順利,賈小蕊又提議吃個飯然後去看電影。按照她的話講,週末大好時光不能浪費。鍾錦笑她就這樣還想做黑客,做大牛,賈小蕊憤怒反駁,勵志從明天開始努力。
等她們回到學校時已經是晚上七點多了。
“齊輝建了個q羣組,要拉你進來方便討論比賽的事情。”鍾錦看電腦上齊輝的留言。她和齊輝彼此互加了qq所以已經被拉進組裡,但是他沒有賈小蕊的qq,只能問鍾錦要。
賈小蕊道:“行啊,我去加。”
說完她又問鍾錦:“你說咱們做個什麼遊戲好呢?”
雖然標題是黑客,但是其實網絡,遊戲,系統等等都會涉及。。
千萬別忘了我寫的是近未來科幻oiz
最後ctf比賽的事情後面會寫到所以這裡先不詳細介紹啦,有興趣可以自己查查看,很好玩很牛x的比賽