第6章 两个比赛
推荐阅读: 邪王嗜宠:神医狂妃 邪王嗜宠鬼医狂妃 邪王嗜宠:鬼医狂妃 妖孽修真弃少 我寄人间 从今天起当首富 宠妻入骨:神秘老公有点坏 重生之再铸青春 超级修真弃少 修复师 万古第一神 我在坟场画皮十五年 裂天空骑 武神主宰 神医萌宝 重生南非当警察 神道仙尊 妖夫在上
sql注入说到底只是一种入侵手段,而除非黑客对网站本身的权限和密码感兴趣,否则就还会有后续步骤和目的。
大圣商贸这里遇到的应该就是后一种。黑客利用这种方式控制访问该网站的个人电脑或其他终端,然后收集这些终端的数据。
被收集了数据的个人电脑和终端将被黑客隐秘的控制,成为一台“肉鸡”。而以后,当黑客想要对某些网站发动洪水攻击时,便能方便利用到这些肉鸡。或者也可以在其他攻击中使用肉鸡当跳板。
让钟锦感到奇怪的是,这样一个小公司的内部网站,究竟有什么注入价值。其独立访问量可能一天都不过百,而且大多时候来源是同样的电脑,所以通过这种注入恶意脚本的方式能控制的电脑实在有限。
这样不会很不值得吗?
不过她并没有继续想下去。反正齐辉找她来只是为了解决问题,她也就专心于此便好。
遭到sql注入之后标准的事件响应方式包括三部分:
一c关闭网站
二c查看iis日志,查找引起攻击的漏洞源网页
三c增强改进asp页面,防堵漏洞。【注1】
不过这三部是属于危机响应的方案,亡羊补牢的意味大于解决问题,治标不治本。网站切断了外部链接之后等于关闭,只有内部ip可以连接。然后通过日志查找,钟锦很快确定了漏洞所在页面。
仔细浏览了前后台代码之后,钟锦发现这个漏洞十分明显,而且修改起来并不困难。
“注入点我已经找到了,看这里,是存储过程使用执行命令的参数问题。这里参数不要直接写入,要用传参”
钟锦一边说,一边迅速改动着文档,没几分钟就完成修改。刷洗页面之后,与原来无异。但是通过简单的验证之后发现,页面已经无法进行注入攻击。
齐辉毕竟实习这么久,钟锦做了一步他就看明白了。
“不过你们网站里类似的漏洞还不少,估计所有的存储程序都要梳理一遍。”钟锦提示齐辉,“否则再次打开公共访问之后,攻击还会出现。”
齐辉点头:“知道怎么修改堵漏洞就行,剩下的我慢慢来吧,正好可以找老板要加班工资。”
说完三个人都笑了。
“我再帮你查一下有没有其他种类漏洞。”钟锦说着打开自己的网盘,从里面拖了一个扫描器出来。
虽然是小公司的内部站,但也并不是简单的几个表格几个页面组成的。前台后台加起来上千个文件,光是基本表格就有几十张张,而大量的sql存储过程最可能隐含可注入点。钟锦要是想全部看完根本不现实,而这种原本用于黑客攻击的扫描手段却是此刻最合适的。
钟锦所用的扫描器是在国内较为有名的黑客论坛下到的,不过对漏洞和字典的更新则由她自己进行。其实扫描器本身并不重要,关键是其中应用到的漏洞。对于大多数黑客的攻击来讲都是如此。谁掌握了最新的,无人知道的漏洞,谁便能在黑客战争中拔得头筹。这也是为什么0day(没有补丁的漏洞利用程序)如此重要,人人争抢。
扫描的速度很快,返回的注入文件c注入点类型和数目都一条条清晰显示在了软件中。
根据结果,钟锦判断原本公司外包建立的基础数据库网站还算过得去,数据库表格的建立和各种调用选择,与前台算法和交流都算得上中规中矩,并且不算特别落伍。也因此可注入点十分少,就算有也都是后来发现的漏洞,甚至是极少有人知道的注入点。
然而在大圣公司进行独立开发之后,新增加的功能和页面中则出现了大量的五花八满的漏洞。有些注入点十分明显简单,几乎是人人皆知。钟锦实在没有想到数据库编程发展到今天,还会有人犯如此低级的错误。
不过这也不难理解,不看漏洞,单看代码本身,大圣商贸的内部网站也已经成了一场灾难。因为经手的人太多,而且都是没经验的在校实习生,于是便产生了大量的冗余文件,并且代码臃肿,算法毫无简洁快速可言。钟锦甚至在一个文件里看到了四重循环。也就是这网站的数据库还不算特别大,又是内部网站访问量有限,否则早就卡死了。
这样的开发导致系统脆弱得跟筛子似的,随处可见破绽。
钟锦不是傻子,没可能给人做白功,从根本上梳理整顿补上所有漏洞。事实上,想要真正的治标,这个网站几乎可以从新架构了。齐辉也清楚这一点,并且十分赞同,按他的话说,没道理拿着治标的钱干着治本的活。
既然如此,钟锦也就不多事。
毕竟,她还一分钱没拿,纯粹友情登场呢。
钟锦将每一个漏洞都选择了一份文件进行修补示范,并告诉齐辉文件里的可注入点,以及原理。直到完成这些,她才站起身来。
“剩下就靠你自己咯!”
齐辉狂点头:“大神放心吧!”
齐辉送钟锦和贾小蕊离开,路上问起关于ctf比赛的事情。
“大神,今年你参加不?”他问,“我听说大军他们要找人组队参加呢。”大军也是他们实验室的,比两个人小一届,今年大二。平时非常活跃,经常参加各种校内校外的计算机或网络比赛。
钟锦道:“不知道呢,他们没和我说。”
齐辉怂恿她:“那你问问他们?反正组队参加,据说拿到分数可以加学分呢!”
贾小蕊道:“真的假的?那我也要!”
齐辉和她聊得也熟了,知道她大概什么水平,便直接道:“你就是参加也拿不到分,别凑热闹了!”
“哼。”贾小蕊也清楚自己斤两,并不以为忤。虽然没听说过这个ctf比赛,但是从他们刚才聊天的内容来看,恐怕不会容易。
钟锦笑了笑:“其实想比赛,未必要去玩ctf。这学期不是学校的游戏实验室要办游戏大赛吗?一个周末两天的时间,组队或者单人做一款游戏,不限平台不限方式,最后看谁的游戏最受欢迎,最有创意。”
贾小蕊想了想:“好像也挺有意思。”
“而且你画画好,可以和人组队。毕竟对游戏来讲,美工还是挺重要的。”钟锦道。
贾小蕊眼睛亮了起来:“钟锦!陪我玩这个!”
钟锦想了想点头:“行。”
齐辉也道:“那要不我也跟着掺一脚?”
三人说着便定下来,由齐辉负责安排报名。现在开学已经三个星期多,距离比赛日期还有一个半月左右,虽然时间有点紧,但是只要游戏创意确定下来,其他准备工作倒也不需要做太多。若是有电子元件或者设备需要采购,从学校去电脑城也并不远,十分方便。
钟锦陪着贾小蕊去到本城闹市区的苹果店。后者早就看中了13寸的acb一一kair,到那边没费什么话大概看了看就直接买下来了。店里的“苹果天才”教了她最新的系统使用,手势及界面切换方法等,贾小蕊玩得不亦乐乎。
电脑买的顺利,贾小蕊又提议吃个饭然后去看电影。按照她的话讲,周末大好时光不能浪费。钟锦笑她就这样还想做黑客,做大牛,贾小蕊愤怒反驳,励志从明天开始努力。
等她们回到学校时已经是晚上七点多了。
“齐辉建了个q群组,要拉你进来方便讨论比赛的事情。”钟锦看电脑上齐辉的留言。她和齐辉彼此互加了qq所以已经被拉进组里,但是他没有贾小蕊的qq,只能问钟锦要。
贾小蕊道:“行啊,我去加。”
说完她又问钟锦:“你说咱们做个什么游戏好呢?”
作者有话要说: 注1:icr一ft/a/sb/l一cal/security/sql/
虽然标题是黑客,但是其实网络,游戏,系统等等都会涉及。。
千万别忘了我写的是近未来科幻一iz
最后ctf比赛的事情后面会写到所以这里先不详细介绍啦,有兴趣可以自己查查看,很好玩很牛x的比赛
小说阅读_www.shuoshuo520.cc
大圣商贸这里遇到的应该就是后一种。黑客利用这种方式控制访问该网站的个人电脑或其他终端,然后收集这些终端的数据。
被收集了数据的个人电脑和终端将被黑客隐秘的控制,成为一台“肉鸡”。而以后,当黑客想要对某些网站发动洪水攻击时,便能方便利用到这些肉鸡。或者也可以在其他攻击中使用肉鸡当跳板。
让钟锦感到奇怪的是,这样一个小公司的内部网站,究竟有什么注入价值。其独立访问量可能一天都不过百,而且大多时候来源是同样的电脑,所以通过这种注入恶意脚本的方式能控制的电脑实在有限。
这样不会很不值得吗?
不过她并没有继续想下去。反正齐辉找她来只是为了解决问题,她也就专心于此便好。
遭到sql注入之后标准的事件响应方式包括三部分:
一c关闭网站
二c查看iis日志,查找引起攻击的漏洞源网页
三c增强改进asp页面,防堵漏洞。【注1】
不过这三部是属于危机响应的方案,亡羊补牢的意味大于解决问题,治标不治本。网站切断了外部链接之后等于关闭,只有内部ip可以连接。然后通过日志查找,钟锦很快确定了漏洞所在页面。
仔细浏览了前后台代码之后,钟锦发现这个漏洞十分明显,而且修改起来并不困难。
“注入点我已经找到了,看这里,是存储过程使用执行命令的参数问题。这里参数不要直接写入,要用传参”
钟锦一边说,一边迅速改动着文档,没几分钟就完成修改。刷洗页面之后,与原来无异。但是通过简单的验证之后发现,页面已经无法进行注入攻击。
齐辉毕竟实习这么久,钟锦做了一步他就看明白了。
“不过你们网站里类似的漏洞还不少,估计所有的存储程序都要梳理一遍。”钟锦提示齐辉,“否则再次打开公共访问之后,攻击还会出现。”
齐辉点头:“知道怎么修改堵漏洞就行,剩下的我慢慢来吧,正好可以找老板要加班工资。”
说完三个人都笑了。
“我再帮你查一下有没有其他种类漏洞。”钟锦说着打开自己的网盘,从里面拖了一个扫描器出来。
虽然是小公司的内部站,但也并不是简单的几个表格几个页面组成的。前台后台加起来上千个文件,光是基本表格就有几十张张,而大量的sql存储过程最可能隐含可注入点。钟锦要是想全部看完根本不现实,而这种原本用于黑客攻击的扫描手段却是此刻最合适的。
钟锦所用的扫描器是在国内较为有名的黑客论坛下到的,不过对漏洞和字典的更新则由她自己进行。其实扫描器本身并不重要,关键是其中应用到的漏洞。对于大多数黑客的攻击来讲都是如此。谁掌握了最新的,无人知道的漏洞,谁便能在黑客战争中拔得头筹。这也是为什么0day(没有补丁的漏洞利用程序)如此重要,人人争抢。
扫描的速度很快,返回的注入文件c注入点类型和数目都一条条清晰显示在了软件中。
根据结果,钟锦判断原本公司外包建立的基础数据库网站还算过得去,数据库表格的建立和各种调用选择,与前台算法和交流都算得上中规中矩,并且不算特别落伍。也因此可注入点十分少,就算有也都是后来发现的漏洞,甚至是极少有人知道的注入点。
然而在大圣公司进行独立开发之后,新增加的功能和页面中则出现了大量的五花八满的漏洞。有些注入点十分明显简单,几乎是人人皆知。钟锦实在没有想到数据库编程发展到今天,还会有人犯如此低级的错误。
不过这也不难理解,不看漏洞,单看代码本身,大圣商贸的内部网站也已经成了一场灾难。因为经手的人太多,而且都是没经验的在校实习生,于是便产生了大量的冗余文件,并且代码臃肿,算法毫无简洁快速可言。钟锦甚至在一个文件里看到了四重循环。也就是这网站的数据库还不算特别大,又是内部网站访问量有限,否则早就卡死了。
这样的开发导致系统脆弱得跟筛子似的,随处可见破绽。
钟锦不是傻子,没可能给人做白功,从根本上梳理整顿补上所有漏洞。事实上,想要真正的治标,这个网站几乎可以从新架构了。齐辉也清楚这一点,并且十分赞同,按他的话说,没道理拿着治标的钱干着治本的活。
既然如此,钟锦也就不多事。
毕竟,她还一分钱没拿,纯粹友情登场呢。
钟锦将每一个漏洞都选择了一份文件进行修补示范,并告诉齐辉文件里的可注入点,以及原理。直到完成这些,她才站起身来。
“剩下就靠你自己咯!”
齐辉狂点头:“大神放心吧!”
齐辉送钟锦和贾小蕊离开,路上问起关于ctf比赛的事情。
“大神,今年你参加不?”他问,“我听说大军他们要找人组队参加呢。”大军也是他们实验室的,比两个人小一届,今年大二。平时非常活跃,经常参加各种校内校外的计算机或网络比赛。
钟锦道:“不知道呢,他们没和我说。”
齐辉怂恿她:“那你问问他们?反正组队参加,据说拿到分数可以加学分呢!”
贾小蕊道:“真的假的?那我也要!”
齐辉和她聊得也熟了,知道她大概什么水平,便直接道:“你就是参加也拿不到分,别凑热闹了!”
“哼。”贾小蕊也清楚自己斤两,并不以为忤。虽然没听说过这个ctf比赛,但是从他们刚才聊天的内容来看,恐怕不会容易。
钟锦笑了笑:“其实想比赛,未必要去玩ctf。这学期不是学校的游戏实验室要办游戏大赛吗?一个周末两天的时间,组队或者单人做一款游戏,不限平台不限方式,最后看谁的游戏最受欢迎,最有创意。”
贾小蕊想了想:“好像也挺有意思。”
“而且你画画好,可以和人组队。毕竟对游戏来讲,美工还是挺重要的。”钟锦道。
贾小蕊眼睛亮了起来:“钟锦!陪我玩这个!”
钟锦想了想点头:“行。”
齐辉也道:“那要不我也跟着掺一脚?”
三人说着便定下来,由齐辉负责安排报名。现在开学已经三个星期多,距离比赛日期还有一个半月左右,虽然时间有点紧,但是只要游戏创意确定下来,其他准备工作倒也不需要做太多。若是有电子元件或者设备需要采购,从学校去电脑城也并不远,十分方便。
钟锦陪着贾小蕊去到本城闹市区的苹果店。后者早就看中了13寸的acb一一kair,到那边没费什么话大概看了看就直接买下来了。店里的“苹果天才”教了她最新的系统使用,手势及界面切换方法等,贾小蕊玩得不亦乐乎。
电脑买的顺利,贾小蕊又提议吃个饭然后去看电影。按照她的话讲,周末大好时光不能浪费。钟锦笑她就这样还想做黑客,做大牛,贾小蕊愤怒反驳,励志从明天开始努力。
等她们回到学校时已经是晚上七点多了。
“齐辉建了个q群组,要拉你进来方便讨论比赛的事情。”钟锦看电脑上齐辉的留言。她和齐辉彼此互加了qq所以已经被拉进组里,但是他没有贾小蕊的qq,只能问钟锦要。
贾小蕊道:“行啊,我去加。”
说完她又问钟锦:“你说咱们做个什么游戏好呢?”
作者有话要说: 注1:icr一ft/a/sb/l一cal/security/sql/
虽然标题是黑客,但是其实网络,游戏,系统等等都会涉及。。
千万别忘了我写的是近未来科幻一iz
最后ctf比赛的事情后面会写到所以这里先不详细介绍啦,有兴趣可以自己查查看,很好玩很牛x的比赛
小说阅读_www.shuoshuo520.cc