银行流水付款可查 信息黑市为何如此猖獗_网易新闻
银行流水付款可查 信息黑市为何如此猖獗
用微信扫码二维码
分享至好友和朋友圈
(原标题:银行流水付款可查 信息黑市为何如此猖獗)
个人信息泄露严峻性不断升级,贩卖“黑市”日益猖獗。记者近日调查发现,网络中存在大量公开售卖包括酒店开房信息等仅在少数渠道可以获取的公民个人隐私信息,准确度之高令人触目惊心。业内人士分析认为,数据大量来自“内鬼”和“黑客”渠道,建议有关部门及时从销售渠道端追查非法交易,遏制“黑产”泛滥。 银行流水、开房记录付款可查原本保管严密的居民个人信息,却可以被任何人在网上以几百元至上千元的价格买到。记者近日调查发现,只要知道姓名或身份证号,就可以购买到任何人近十年的酒店开房记录。记者通过搜索引擎查找并联系到一个名为“客服中心”的QQ联系人,称可查最新开房记录、出入境记录和银行流水,记者征得一位同事同意后,支付了对方要求的1500元且提供了其身份证号码。该QQ联系人在两日后提供了该同事2008年以来多达52条酒店开房信息,包括开房日期、酒店地址、入住时间、退房时间、房间号等极为具体的信息。经该同事确认,这些信息基本准确无误。经过反复试验调查,记者发现此类个人信息买卖的地下黑市十分猖獗,并存在三大特点。首要特点是交易十分活跃,广告遍布网络。在百度输入“个人信息 查询 私家侦探”等关键字后,显示出诸多网站,号称能查到所有个人信息。在QQ搜索“个人信息查询”等关键字也能找到大量提供相关服务的QQ群,每个QQ群中都包含很多活跃联系人。令人吃惊的是,一些网站甚至免费提供隐私信息查询。在百度搜索“开房信息查询”并在结果首页进入一家网站后,在搜索框输入任意姓名,就可查询到该人身份证号码、年龄、生日、地址、电邮和曾经的一条开房信息。其次是信息并不全面。记者今年出差入住的部分宾馆信息未被包括在内,且当日测试的酒店开房信息亦未被囊括在内。该QQ联系人自称,最近警方严查,因此要求与记者在凌晨沟通。他还表示,如果花费5600元还可查询银行流水记录,花1600元可查询个人所有航班信息和出入境记录。第三个特点是衍生诸多诈骗产业。很多网上个人信息售卖者声称可以查询微信等即时通讯聊天记录,但记者经两次尝试后发现这主要为诈骗行为,在支付数百元定金后对方均无法提供并消失,从事此类交易的QQ群也大量存在于网络中。除去个人信息外,一些百度贴吧还存在大量的非法数据交易广告。如在百度“数据买卖”贴吧中,叫卖“三大电信运营商内部数据”、“各行业客户数据”、“网购买家数据”的内容随处可见。 内鬼、黑客导致数据安全基本失控从事信息安全工作多年的猎豹移动安全专家李铁军分析认为,个人隐私信息“黑产”庞大,形势严峻,亟须加强监管。从信息来源看,个人隐私信息主要来自“黑客技术截获”和“内部人员违规泄露”两条路径。就在记者调查同期,公安部门破获了一起侵犯公民个人信息犯罪的案件,正是来自相关单位内部人员与社会人员相互勾结所为。公安部表示,2016年以来共侦破此类案件1800余起,抓获犯罪嫌疑人4200余人,查获各类公民个人信息300余亿条,其中,抓获涉及40余个行业和部门的内部人员390余人、黑客近百人。李铁军认为,对于网络数据和信息安全管理基本处于失控状态,特别是个别管理掌握公民个人信息的机构可能存在大量管理漏洞,能批量获取居民酒店开房信息、网吧登记信息和银行卡余额的只有少数内部网络可以做到。这些都不是黑客可能轻易入侵的。他认为,数据保护形势异常严峻,不少业内人士都认为,由于数据管理和监管的缺失,在互联网上几乎可以查到任何人的信息,从唯一身份信息到交通、位置、航班等日常信息无所不有,泄露数据量之大已几乎覆盖到每个网民。一线民警告诉记者,在此前查处的这类案件中发现,互联网上每天进行着规模巨大、覆盖全国、买卖便捷的公民个人信息交易。在众多社交媒体群组中,信息贩子不停地通过互联网发布需求、互通有无。除了被反复买卖的“二手”数据,“一手”信息来源有很多途径,例如有黑客侵入一些数据库,非法获取各种个人信息并销售牟利,还有一些能够接触公民个人信息的从业人员,利用职务之便将数据在网上出售。除去内鬼外,黑客也是数据泄露的重要途径,这一链条相对分散。根据李铁军的研究,这一人群分为三个层次。最顶端的黑客具备发现漏洞和攻破系统的能力,在全国有数百人。其次是买卖和利用这些漏洞的人,懂得如何利用漏洞获取数据和倒卖信息,可能有上万人。最底层是大量希望利用数据牟利的群体,以广告营销为目标的公司和用个人信息诈骗的团伙最多。不仅如此,除了明目张胆的“黑产”,“灰色”的数据交易行为也普遍存在。如一些数据交易所交易的数据包括居民保险、企业贸易通关、专利、征信、工商、司法、行业生产销售、城市交通服务数据等,但由于我国对数据权属、个人信息的定义等法律法规尚未完善,企业之间在平台上交易个人数据,还属于“无章可循”阶段,同样存在大量隐患。专家建议从渠道端严打数据“黑产”猎豹移动发布的一份全球隐私安全报告显示,中国、印度等新兴国家由于第三方市场缺乏管理,导致恶意应用在这些地区泛滥。2014年,猎豹移动全年截获手机病毒及恶意应用APP共约280万个,是2013年数据的3.29倍,其中60%以上属于移动支付和窃取个人隐私类。2015年猎豹移动安全实验室从钓鱼网站收集系统中回溯过往拦截历史,发现自2014年7月以来就有6300多个专门收集银行卡信息的钓鱼网站,研究人员仅从30余个钓鱼网站中就获得了超过3.5万条银行卡记录。据推测,遭遇此类钓鱼网站攻击,泄露银行卡信息的受害者保守估计在700至3500人/天。公民隐私被严重侵犯以及多行业个人信息数据非法暴露在互联网当中,反映了我国数据安全管理仍存在大量薄弱环节。对此专家及业内人士认为,应从渠道销售端严格追溯非法数据倒卖,并从长远规划数据的安全存放和流通规则,保护公民信息隐私,妥善处理数据安全。首先应从销售渠道追溯严打。虽然数据泄露源头端监管难度大,但因为大量交易渠道均为互联网搜索引擎、QQ群等公开渠道,并关联到个人甚至企业实名的支付宝账户,因此非常容易追查。中国工程院院士邬贺铨表示,安全是我国大数据产业的短板,存在技术与管理的双重风险。居民个人隐私被公开贩卖,正反映了这两大风险,应从源头上追溯非法数据倒卖案例,打击“黑产”。其次要加强源头端数据权限管理。对各行业涉及数据信息的领域加强管理要求,针对“内鬼”大量存在的学校、政府机关、快递公司、电商等泄露案例频发的领域,可要求建立数据管理机制,将系统权限和数据获取记录集中管理,并增加预警机制。
再次应夯实数据管理的法律基础。有专家表示,对个人数据的保护大多依照2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》,这已远远不能覆盖目前行业的发展现状。为此应加快大数据管理的法律法规依据,完善隐私保护的法律基础。此外还应确定大数据管理的权责部门。在我国逐步建立国家大数据中心的过程中,应不断提升技术手段,并将个人隐私保护作为建设过程的重要内容,针对大数据产业迅速发展的形式,以及数据权属、个人数据隐私保护、政府数据公开等难题,明确专门的监管部门,充分管理和利用好数据战略资源。
(原标题:银行流水付款可查 信息黑市为何如此猖獗)
本文来源:最高检网站
责任编辑:王晓易_NE0011
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:
:
:
热门影院:
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈谁会是下一个受害者?历数数据库黑客新闻_Linux新闻_Linux公社-Linux系统门户网站
你好,游客
谁会是下一个受害者?历数数据库黑客新闻
来源:infoq.com&
作者:麦克周
攻击事件序列
1月9日:MongoDB,影响40291台服务器1月13日:ElasticSearch,影响5044台服务器1月18日:CouchDB、,分别影响452和182台服务器1月24日:Cassandra,影响49台服务器2月12日:MySQL,影响范围未知
这几次攻击都被和其他GDI基金会的成员发现并且持续追踪,并且已经报告给了CERT组织,他们甚至做了一个表格,具体记录攻击频率、范围:
除此之外,Gevers还在Twitter上发文,进一步警告数据库管理员,小心被攻击:
7 days ago @GDI_FDN warned all GovCERTs 4 world-writeable Hadoop Distributed File Systems. 5 reacted, 28 clusters taken down. Thousands left pic.twitter.com/YAoEA0eoYH
& Victor Gevers (@0xDUDE) January 21, 2017
尚未被攻击的数据库包括Neo4J、、。
MySQL攻击事件
日,,黑客尝试各种方式,强行进入MySQL的Root账户。根据分析人士判断,所有的攻击都是来自荷兰的同一个IP地址(109.236.88.20),这个IP地址属于一家叫做的公司,该公司提供主机托管服务。
由于攻击者并没有按照一种固定的套路进行攻击,所以即便是来自一个IP地址,我们也不能推断这次攻击属于一个黑客组织,当然,WorldStream公司的主机只是被控制用来攻击,并不是真凶。
攻击者的手段很多,举个例子,他们成功进入MySQL服务器之后,攻击者会创建一个叫做&PLEASE_READ&的数据库,然后创建一张叫做&WARNING&的数据表,并且记录他们想要的赎金。也有一些MySQL服务器并没有创建新的数据库,而是直接在现有数据库创建数据表。这就证明了并不是同一个脚本执行的创建、写入操作,或者有可能是动态脚本。数据库信息转换为SQL插入语句如下所示:
INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(&1&,&Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!&, &1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY&, &&)
INSERT INTO `WARNING`(id, warning) VALUES(1, &SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en&)
黑客在导出整个数据库的内容之后清空了数据,留下他们的赎金要求,接下来就会有一些厂商不得不支付这些赎金,一般情况下他们还不敢对外声张,以免声誉受损。
MySQL并不是第一个被攻击的数据库,今年早些时候,Cassandra、MongoDB、Hadoop、ElasticSearch、CouchDB都已经受到了攻击,让我们一一回顾当时的场景。
Cassandra攻击事件
Cassandra的这一波攻击更像是学生炫耀技术或者善意的黑客组织发出的警报,黑客入侵了对外提供服务的Cassandra数据库(通常是安全措施不到位的),并且在数据表内留下了警告信息。
最先曝光的例子是通过Twitter发布的,一位名叫&&的用户发推文,在数据库中创建了一张&your_db_is_not_secure,&的数据表,并且留下了这么一段话:
Someone is warning unaware unprotected Cassandra database (https://t.co/2UcEiraM5l) owners by creating an empty "your_db_is_not_secure" db. pic.twitter.com/XDfvSPjeno
& Victor Gevers (@0xDUDE) January 24, 2017
MongoDB攻击事件
Victor Gevers和(这位同来自于安全研究zuzhi)组织)发文,指出本次攻击主要来自一个叫做Kraken的职业勒索团队,大约有16000个数据库被攻击,占了所有被攻击的MongoDB数据库的56%。
一共大约有12个组织参与了本次大规模攻击行动。让人震惊的是,很多受害数据库都没有对管理员账号设置密码,并且还保持这种状态面向互联网。
下面这张图是Kraken团队留给受害者的邮件截图:
ElasticSearch攻击事件
Niall Merrigan同样也追踪了针对ElasticSearch的这波攻击,他一个人就发现超过600个服务被攻击了。
一个名叫&P1l4t0s&的勒索组织对该事件负责,并在受害人服务器上留下来了这么一段话:
SEND 0.2 BTC TO THIS WALLET: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS p1l4t0s@sigaint.org
Itamar Syn-Hershko是一位搜索&大数据专家,他发表了一篇,知道用户如何加强ElasticSearch服务器的安全性,以对抗攻击者。
Hadoop & CouchDB攻击事件
一家叫做&NODATA4U&的黑客组织已经入侵Hadoop数据存储服务,然后清除数据,把所有的表名替换为&NODATA4U_SECUREYOURSHIT.&,如图所示。
Gevers也对这波攻击进行了追踪,他认为针对Hadoop的攻击有别于前几个,因为没有要求赎金,更像是故意破坏,并且攻击者会在一台服务器上停留超过1个小时,这个做法和其他几次攻击方式不一样。
针对CouchDB的攻击就简单多了,他们要钱,如图所示:
这波针对Hadoop和CouchDB的攻击导致很多Hadoop、CouchDB服务在周末停止工作,有些甚至到周一还是无法正常工作。
为了避免数据库被外部攻击,最好不要对外直接暴露数据库地址,通过Restful协议方式对外提供服务,同时对数据加强安全保护。此外,比特币的出现也为黑客提供了新的洗钱手段,需要各国联系起来打击这类黑客组织,还IT界太平。
:世界闻名的开源数据库,隶属于公司,提供高性能、可扩展数据库服务。
:一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。
:一种基于分布式文件存储的数据库,主要面向文档存储,采用主从架构模式。
Cassandra:一种NoSQL数据库,支持丰富的数据类型,采用无中心化设计,擅长数据的读取、更新操作,整体来看插入、读取、更新数据性能均较为平均。
CouchDB:NoSQL解决方案,是一个面向文档的数据库,在它里面所有文档域(Field)都是以键值对的形式存储的。CouchDB有一些独特的特性,例如高级复制。
Hadoop:由Apache基金会所开发的分布式系统基础架构。用户可以在不了解分布式底层细节的情况下,开发分布式程序。充分利用集群的威力进行高速运算和存储。
CERT:计算机安全应急响应组(Computer Emergency Response Team)是专门处理计算机网络安全问题的组织。在1988年莫里斯蠕虫横扫互联网之后,在美国联邦政府资助下,卡内基梅隆成立了第一个CERT组织。
本文永久更新链接地址:
相关资讯 & & &
同意评论声明
发表
尊重网上道德,遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款数据库注入( inject)是黑客入侵大型网站常用的手法之一。与其他攻击方式相比,这种方式能轻易穿透防火墙,绕过账户破解等障碍查询、修改、删除数据库内的重要数据资料。在这一章中,我们先了解注入攻击的原理及如何发现注入点,然后学习如何防范这种攻击。
SQL注入攻击概述
一个水桶无论有多高,它盛水的高度取决于最低的那块木板,这就是著名的短板理论。网站的安全系统亦如此,即使拥有严密的防火墙保护及安装了高效的杀毒软件,链接数据库的网站源代码也可能是“木桶”中最低的那块木板,只要黑客构造特殊的注入语句,便可突破重重防护,威胁储存大量重要数据的数据库。
SQL注入攻击的原理
SQL(Structured Query Language,结构化查询语言)是一种用于检索、操控和存取数据库的数据库子语言。它的核心只有Seleci、Cre:rUe、insert、update、delete、grant六个常用动词,没有任何可用的流程控制语句,必须依赖于数据库管理系统才能执行。这种功能看似单一、只能用于与数据库交互的语言,事实上为何成为注入攻击的帮凶?
在揭开这个谜底之前,我们先来做一个实验,假设有一个简单的数据奁询系统,只要在Check.htm输入学号,它就会调用Cx.asp该学员成绩(cj表)中的语文(字段ywcj)成绩,源代码如下:·Check.htm源代码:
假如我的学号是12号,经正常查询,结果显示是45分,如图12-1所示。嗯,这真是一个惨不忍睹的分数。不行,我得将它改高一些,不然语文又得补考了。
在浏览器中执行http:/xxxx,虽然这次查询后面添加了一些奇怪字串,但成绩还是45分,如图12-2所示。
再次查询一下,嘿,我的分数已经是78分,不用补考了,如图12-3所示
在上面注入攻击的例子中,并没有破解管理员的密码,也没有修改Web服务器上的任何源程序,而数据库中的数据却被成功修改了。假如对方使用的是SQL 2000数据库,并且管理员没有关闭xp_cmdshell储存进程,那么,尝试执行”一,如果执行成功,便可以将一个user级别、名称为name、密码为password的账户添加到数据库服务器上,接下来,继续执行”一,就可以加入管理员群组了,这台服务器就可以归你管理了。很神奇吧!这就是恐怖的注入式攻击。
当然,以上只是理想状态,新的SQL 2005、SQL 2008已经默认禁用xp_cmdshell储存进程,而且要知道成绩数据储存在哪个表,各个字段代表什么意思,均需要花一段时间猜解。’不过,依然可以利用注入漏洞获得网站的管理密码、将自己加为BBS的VIP成员等。
下面我们来看看刚才到底发生了什么事,让简单可靠的查询系统变成入侵系统的帮凶。为了达到这个目的,在cx.asp的第6行下方插入以下两行代码。
其作用是把执行的sql命令转换为字符串并显示于页面之上。
首先,在浏览器中执行时,参数l2被赋变量m,查询系统最后执行了select÷from cj Where Ncr=12.查询学号为12的学员的成绩,如图12-4所示。
接下来,在浏览器中执行:,参数“12;update cj set ywcj=78 where No=12”被赋变量dt,查询系统执行select+from cj WhereNo=12; update cj set ywcj=78 where b~o=12,如图12-5所示。由于“;”在SQL数据库中代表分隔命令,所以,此时执行了两条命令:第一条是正常的查询select+ from cj Where No-12;第二条是额外的命令。 update cj set ywcj=78 where No-12。正是第二条额外命令,在系统不允许的情况下,偷偷修改了数据库中的成绩。同理,用户只要精通SQL数据库,就可以在“;”号后任意添加要执行的语句.以达到各种入侵的目的。利用网站应用程序的Bug,从网址栏注入额外的执行语句并在服务器端执行,这就是SQL注入攻击的真相所在。
当然,要构造出合适的攻击语句并不是一件简单的事情。在实际攻击中,不太可能获得网站的源程序,要猜解数据库名称及字段将会非常困难,具体的漏洞扫描及猜解方法将在12.2节中详细说明。
SQL注入攻击的危害
从SQL攻击的原理不难看出,程序人员编写的网站程序不够严密,是SQL注入攻击得逞的主要原因之一,所以,注重安全的网站会十分注意过滤用户输入数据的合法性,始终使用相关函数行检测输入内容的类型、长度、格式等内容,然后才提交给数据库处理。但此举并不能完全防御SQL注入式攻击。
因为许多网站放置在服务供应商数据中心的共享主机上,同一台主机可能有数个网站同时运作,只要其中一个网站存在SQL注入漏洞,黑客成功入侵就可以获得数据库的操作权限。假如服务供应商没有严格限制数据库权限,那么,所有共享这台数据的其他网站将陷于危险的境地。
SQL攻击具有隐蔽性,通常以大量的扫描作为前奏,管理员可以轻易通过浏览防火墙日志得知网站受到安全威胁。SQL注入攻击,利用公开的80端口非法注入SQL命令,防火墙将它当成普通的访问操作,根本不会发出警报,所以,许多受到SQL注入攻击、被篡改数据的主机,往往在造成重大损失后才会被管理员察觉
寻找SQL注入攻击目标
黑客是如何发现存在SQL注入问题的主机呢?方法有人工判断、软件扫描两种。其中,软件扫描通常用f快速、批量评估动态网站中具有提交功能的文件是否存在安全问题,优点是处理速度快,缺点是经常会发生误判。人工判断是指手动构造注入语句,通过试探指定的动态页面拽出注入漏洞,这种方式通常用于攻击严密防护且不存在已知注入漏洞的安全网站。
使用NBSI探测SQL注入漏洞虽然NB( NetBuilder)联盟已经解散,但他们推出的NBSI却成为探测SQL注入漏洞的’代经典名器。利用它提供的自动扫描、注入漏洞分析、表单猜解和列名猜解等功能,可以快速找出程序中的漏洞,并猜解数据库的大致结构。使用NBSI探测SQL注入漏洞的方法如下:
Stepl 在“网站地址”栏输入需要扫描的网址(注意不要输入具体的页面位置,否则扫描将无法执行),如图12-6所示。选择“全面扫描”单选按钮,单击“扫描”按纽。
Step2 NBSl以匿名身份遍历所有具有提交功能的网站链接,测试该链接对SQL注八攻击常用字符的过滤,并在下方显示结果。远程扫描检测所需的时问较长,请耐心等候,如图12-7所示。在扫描的过程中,如果执行其他操作容易导致程序失去响应
Step3对于结果为“极低”、“较低”的项目,可从忽略之,留意结果为中等,较高、极高的项目。从程序底部的“注入地址”栏位复制相应的链接,以便进一步实行SQL注入攻击。
12.2.2使用l啊D注入工具检测SQL注入漏洞
啊D注入工具的检测方式比较特别,用户使用内部集成的浏览器,程序就会检测网页内的提交链接,并列出可能存在的注入漏洞链接。在漏洞链接上右击,选择“注入检测”命令,以便进行详细检测,如图12-8所示。
单击“检测”按钮,稍后会显示相关的结果,若不能SQL注入,将会弹出对话框提醒用户,如图12-9所示。
通过检测的链接,将会在下方显示数据库的名称及执行权限等信息,如图12-10所示。具体如何利用,请参阅12,4节
啊D注入工具的检测方式也有不足之处:一是检测无法自动化,若要检测大量链接比较费时费力,建议与日常上网浏览相结合,以随时检测所浏览的网站是否存在可利用的漏洞:二是检测只针对超链接,而无法分析网页中的表单,部分存在严重的SQL注入安全漏洞的网页会漏检
手动检测SOL注入安全漏洞
手动检测SQL注入安全漏洞就是手动发送注入链接,人工检查网站是否存在注入漏洞。与前面的软件检测相比,手动检测最能体现黑客对SQL数据库及网站后台服务器相关知识的掌握程度。
在开始之前,先修改浏览器设置,具体操作如下
Stepl 单击“工具”按钮,选择“Internet选项”命令。
Step2在打开的对话框中切换至“高级”选项卡,取消选择“显示友好HTTP错误信息”复选框,单击“确定”按钮,如图12-II所示。
取消该项的日的在于获取所有服务器反馈信息,以准确判断构造语句在服务器端的执行情况。
经典的l_l、1=2试探:
1=I这个逻辑表达式的结果是true,而1=2逻辑表达式的结果是false。添加这两个表达式至正常的提交链接后面,当1=1时显示正常的页面,当1=2时显示出错页面或其他页面,说明此链接可能存在SQL注入漏洞。下而根据“12.1.1 SQL注入攻击的原理”中的例子,详细回顾整个手动攻击过程,方法如下:
Stepl 在浏览器的提交页面右击,选择“查看源文件”命令,如图I2-12所示。
Step2从源文件中可以看到,内容以变量idl提交给cx.asp处理,所以,可以轻易获得带参数的查询链接,如图12-13所示。例如主机192,168.1.66,学号9的查询链接为“http://xxxx&。
Step3 在原链接后添加I=l,并尝试执行,页面正常。
Stap4在原链接后添加1=2,并尝试执行,页面转换。说明此链接可能存在SQL注入漏洞。
以上只是最经典的检测方法,目前,众多程序员已意识到这个问题并对此加以过滤。下面介绍
另一种常用的检测方法。
·加引号法:
在有效链接的右侧添加半角单引号,如存在漏洞,将会出现报错信息。假如网站人员没有屏蔽出错信息,还可以查看数据库类型、引用方式等信息,如图12-14所示。
Microsofi J:ET Database Engine错误‘80040el4’,代表网站使用Access数据库。
Microsofi OLE DB Provider for SQL Server错误’; SQL Server数据库)表示网站使用SQL数据库。
获取数据库表及字段名称
由于ASP网页在服务器端执行,返回给用户的只是最终执行结果。因而即使存在注入漏洞,黑客也需要获得数据表名称和字段名称,然后才能精确构造出可以执行的注入语句。
对于可供SQL注入的网址,NBSI提供了分析及猜解数据表名称、字段名称的功能,可以协助黑客判断数据库内有哪些表、表中有哪些字段。下面以“12.I.1 SQL注入攻击的原理”中的例子说明猜解数据表及字段名称的方法,步骤如下:
Stap1 在“注入地址“栏位输入可注入的地址,单击“检测”接纽,程序叁提示可用的注入方式,网站服务器的错误提示功能是否关闭。
Stop2免费版本仅猜解数据库的第一个表名称。用户需要手动输入程序设计人员可能使用的表名,如chenji、Result、ywcj、cj等,如果数据库与服务器的表名称相符,列表中相应的表名称会添加Y标记,如图12-15所示
Step3选择成功精解的表名,使用类似的方法猜解宇段名称,如图12-16所示。
假如程序设计人员对数据表的命名方式比较独特,那么,免赞版猜解的难度将大大增加,建议用户寻找全自动猜解的商用版本,或参考“12.3.2手动获取数据库表及字段名称”小节,通过命令方式获得数据表及字段名称。
手动获取数据库表及字段名称继续以“12.1+1 SQL注入攻击的原理”为例,由于cx.asp是提交查询请求并输出查询结果的页面,所以,不妨构造以下语句,让数据库报错并逐一给出表单字段。
·报出当前表名和第一个字段名:
如果原来的查询网址是http:xxxx,那么,就变成。
此时,查询必然会出错,并在出错信息中提供表单名称以及表单的第一个字段名称No,如图12-17所示。
报出第二个及其他字段:
http://正常浏览网址group by第一个字段名having l=1--
如果原来的查询网址是http:xxxx,获得的第一个字段为No,那么,接下来输入,即可获得第二个字段ywcj,如图12-18所示。
依次采用同样的方法,可以获取该表的所有字段名称。取得表名称和字段名称之后,只要运用SQL语言基础,即可构造出自己所需的注入语句了。
利用SQL注入漏洞展开攻击
目前,网上提供了很多利用SQL注入漏洞展开攻击的工具,如“新云SQL注入漏洞利用程序”、“my power注入漏洞利用程序”等,然而这些程序仅针对使用特定源码构造的网站才有效,随着网站升级,这些利用程序将会失效。所以,黑客高手通常不会四处寻觅什么注入利用程序,而会开动脑筋,自行利用漏洞展开攻击。
如何构造注入语句
发现网站存在注入漏洞后,如何利用漏洞展开攻击呢?其实,只需在网址后附上自己构造的注入语句就可以了。例如在“SQL注入攻击的原理”一节中,用于修改成绩的“;update cj set ywcj=78where No=12”就是一个注入语句。注入语句是如何构造出来的呢?这主要从以下三个方面着手:
第一,获得数据库的表及字段名称。此类资料是构造注入语句的基础。如果还没有获得表及字段名称,建议先参阅“获取数据库表及字段名称”一节的内容。
第二,从网页功能和传输参数逆推存在漏洞的ASP网页.原有的数据库处理语句。要做好这一步,除了要具备SQL语言基础之外,还需要一定的经验。假如你对这方面感到比较棘手,建议先下载并研究主流的网站模板。从网站源代码中可以接触到形形色色的查询、修改、更新语句。
第三,深入了解SQL语言。要构造注入语句,SQL语言是必须掌握的技术基础。假如对SQL语言一知半解,只能依赖工具软件,注入效果自然会大打折扣。
经典注入语句剖析
针对入门黑客薄弱的SQL语言基础,下面简要介绍常用构造注入的语法:
(1)组合查询
这条命令用于查询数据库中的tabiel表、columl字段是否有内容为xxx的记录。如果有,将指针跳至该记录。例如SELECT+ FROM cj WHERE cj+No-12就是查询cj表内No字段是否有内容为12的记录。
(2)更新数据
这条命令的作用是将数据库中tablel表符台conditions条件的记录的columnl字段值改为XIXX。如果删除WHERE及相应的条件限制,那么所有记录的columnl字段值将被修改为xxx。例如UPDATE cj SET ywcj-78 WHERE No=12就是将cj表中No值等T 12的记录中的ywcj字段值改为78。UPDATE cj SET ywcj=45就是将cj表中所有记录的ywcj字段值改为45。
(3)插入记录
返条命令的作用是在tabIel表中插入一条记录,并将valus1赋给该记录对应的columl字段,将valus2赋给该记录对应的colum2字段。例如INSERT INTO cj (ywcj,yycj) VALUES (78,68)就是在cj表中插入一条记录,将78赋给yWcj字段,将68赋给yycj字段。
(4)删除数据
这条命令的作用是删除tablel表中符合条件的相应记录。例如DELETE FROM cj WHERE No=l
就是删除cj表中No值为l的记录。
防御SQL注入攻击
分析SQL注入攻击的原理后发现,这类攻击并非利用系统或数据库的漏洞,即使系统及SQL数据库本身安装了所有补丁也无济于事。由于注入攻击利用于Web服务器必须开放的80端口,所
以防火墙也帮不上忙。面对SQL注入攻击,数据库管理员、系统管理员及网络管理员真的完全无能为力吗?当然不是,他们可以通过设置将SQL注入攻击的危险降至最低。
1.数据库管理员
数据库管理员从数据库服务器上移除所有示例脚本,减少冗余脚本造成的安全隐患。
移除不需要使用的储存过程,特别是访问注册表的储存过程,使用SQL 2000等旧式数据库的管理员必须移除cmd Shefl储存过程。
为每一个网站分配一个专用的低特权账户,避免使用sa、dba等访问整个服务器的高权限账户。
2.应用程序设计员
解除SQL注入攻击威胁唯一的办法是完善网站的源程序,加强用户提交内容检查与过滤机制。需要做的工作主要有以下几项:
·在一些长度固定的输入中严格检测输入长度。例如根据证件号码查询时,检查用户提交的内容是否超长,超长则不予处理。
·拒绝包含二进制数据、转义序列和注释字符的输入内容,这有助于防止脚本注入,防止某些缓冲区溢出攻击。例如在处理用户邮箱地址时可以参考以下源代码
·养成良好的编程习惯,多使用安全参数。在SQL Server数据库中提供的Parameters集合,具有检查和验证双重功能。它首先检查用户提交内容的长度,接着会将输入内容转换为纯文本资料,从而封堵了黑客构造注入语句的可能。
3.系统管理员
虽然注入攻击可以绕过防火墙、防病毒等安全防线,但是系统管理员也可以作出一些防御设置,以提高系统抵御SQL注入攻击的能力。
.移除不必要的系统组件和命令行工具,让入侵者难以获取有用的Shell,或者利用系统命令工具进一步入侵主机。假如你已经删除了XP的命令行,那么黑客注入http://xxxx ”一语句只能无功而返了。
·不要轻易开放iis等网站后台程序的写入、执行功能
