于是大圣商贸只能自己进行数据库的维护和后续开发工作。原本的it部门主管,只负责内部计算机网络、硬件、通讯,邮件系统等等,现在还要负责代码开发,功能添加,有些力不从心。于是便开始雇佣合同代码工和实习生。
齐辉就是在这种情况下被招进来的。
“齐辉,你是怎么和你老板说的?”钟锦问道,“他同意你带外人来查看系统?”
齐辉讪笑一声道:“我们这公司,哪有那么严格负责。况且雇佣的都是实习生,基本每个人都拿着系统的密码,远程登录都能修改程序……”
他说了几句,钟锦也就明白怎么回事了。这倒也不算太出奇,还是那句话,对于这样的小公司,要求用usb秘钥登陆什么的,实在太夸张。
“我有和老板提起,他说如果你做的好,也可以来我们公司实习。”齐辉说到这里嘿嘿一笑,“不过我估计你是看不上啦,我看你做合同工还差不多。我们公司找的那些写合同代码的,还不如你呢。”
钟锦笑了笑,没说什么。
大圣商贸没有专门的it部门办公室,只是一个大办公室里,几个小隔间分给了技术部。其他都是营销业务人员,一天到晚不是在打电话就是跑业务。
“看看系统吧。”齐辉很快登录系统,打开网站,然后分别登陆了数据库服务器和前端服务器。
大圣商贸上至公司老板,下至跑腿员工,每一个都在使用这套系统。不过既然系统是对内的,就只需要讲究功能实用,使用方便,速度快捷,并不需要界面美观。所以当钟锦看到这套系统时,对它的难看程度并没有太惊讶。
倒是贾小蕊叫了一声。“怎么这么难看啊。”
齐辉听了,便大致解释一番,两人你来我往,愉快地聊了起来。
钟锦开始还听得他们说什么,后来就专注于屏幕上的文件和数据库管理器等。
“大概了解了。”她很快掌握了网站构架。
齐辉打开几张表格:“看这里的代码,应该是恶意javascript脚本,用户读取数据库之后就会被自动执行这些脚本,连接到黑客的服务器。”
“这表已经清理很多遍了,还是不行。应该是sql注入攻击,我们找不到注入点,结果就是一遍遍的被人篡改。”齐辉问,“我还是第一次亲眼看到,也不知道谁这么闲的。”
钟锦点点头:“我知道了。”
这确实是网络攻击中十分常见的sql注入。
作者有话要说:唔虽然字数多,可是我知道很多人都要跳过(掏手绢擦泪~
第6章 两个比赛
sql注入说到底只是一种入侵手段,而除非黑客对网站本身的权限和密码感兴趣,否则就还会有后续步骤和目的。
大圣商贸这里遇到的应该就是后一种。黑客利用这种方式控制访问该网站的个人电脑或其他终端,然后收集这些终端的数据。
被收集了数据的个人电脑和终端将被黑客隐秘的控制,成为一台“肉鸡”。而以后,当黑客想要对某些网站发动洪水攻击时,便能方便利用到这些肉鸡。或者也可以在其他攻击中使用肉鸡当跳板。
让钟锦感到奇怪的是,这样一个小公司的内部网站,究竟有什么注入价值。其独立访问量可能一天都不过百,而且大多时候来源是同样的电脑,所以通过这种注入恶意脚本的方式能控制的电脑实在有限。
这样不会很不值得吗?
不过她并没有继续想下去。反正齐辉找她来只是为了解决问题,她也就专心于此便好。
遭到sql注入之后标准的事件响应方式包括三部分:
一、关闭网站
二、查看iis日志,查找引起攻击的漏洞源网页
三、增强改进asp页面,防堵漏洞。【注1】
不过这三部是属于危机响应的方案,亡羊补牢的意味大于解决问题,治标不治本。网站切断了外部链接之后等于关闭,只有内部ip可以连接。然后通过日志查找,钟锦很快确定了漏洞所在页面。
仔细浏览了前后台代码之后,钟锦发现这个漏洞十分明显,而且修改起来并不困难。
“注入点我已经找到了,看这里,是存储过程使用执行命令的参数问题。这里参数不要直接写入,要用传参……”
钟锦一边说,一边迅速改动着文档,没几分钟就完成修改。刷洗页面之后,与原来无异。但是通过简单的验证之后发现,页面已经无法进行注入攻击。
齐辉毕竟实习这么久,钟锦做了一步他就看明白了。
“不过你们网站里类似的漏洞还不少,估计所有的存储程序都要梳理一遍。”钟锦提示齐辉,“否则再次打开公共访问之后,攻击还会出现。”
齐辉点头:“知道怎么修改堵漏洞就行,剩下的我慢慢来吧,正好可以找老板要加班工资。”
说完三个人都笑了。
“我再帮你查一下有没有其他种类漏洞。”钟锦说着打开自己的网盘,从里面拖了一个扫描器出来。
虽然是小公司的内部站,但也并不是简单的几个表格几个页面组成的。前台后台加起来上千个文件,光是基本表格就有几十张张,而大量的sql存储过程最可能隐含可注入点。钟锦要是想全部看完根本不现实,而这种原本用于黑客攻击的扫描手段却是此刻最合适的。
钟锦所用的扫描器是在国内较为有名的黑客论坛下到的,不过对漏洞和字典的更新则由她自己进行。其实扫描器本身并不重要,关键是其中应用到的漏洞。对于大多数黑客的攻击来讲都是如此。谁掌握了最新的,无人知道的漏洞,谁便能在黑客战争中拔得头筹。这也是为什么0day(没有补丁的漏洞利用程序)如此重要,人人争抢。
扫描的速度很快,返回的注入文件、注入点类型和数目都一条条清晰显示在了软件中。
根据结果,钟锦判断原本公司外包建立的基础数据库网站还算过得去,数据库表格的建立和各种调用选择,与前台算法和交流都算得上中规中矩,并且不算特别落伍。也因此可注入点十分少,就算有也都是后来发现的漏洞,甚至是极少有人知道的注入点。
然而在大圣公司进行独立开发之后,新增加的功能和页面中则出现了大量的五花八满的漏洞。有些注入点十分明显简单,几乎是人人皆知。钟锦实在没有想到数据库编程发展到今天,还会有人犯如此低级的错误。
不过这也不难理解,不看漏洞,单看代码本身,大圣商贸的内部网站也已经成了一场灾难。因为经手的人太多,而且都是没经验的在校实习生,于是便产生了大量的冗余文件,并且代码臃肿,算法毫无简洁快速可言。钟锦甚至在一个文件里看到了四重循环。也就是这网站的数据库还不算特别大,又是内部网站访问量有限,否则早就卡死了。
这样的开发导致系统脆弱得跟筛子似的,随处可见破绽。