會員書架
首頁 > 遊戲競技 > 駭客法則txt合集下載 > 第4部分

第4部分(第2/5 頁)

目錄
最新遊戲競技小說: 網遊:開局獲得玄冥神掌海上求生我靠開寶箱霸榜第一禁忌降臨世間,我覺醒了血肉戰甲大姚穿越1978籃壇全是他的人網遊之劍起太初家人怕我創業,反手充值千億網遊升級經驗一萬倍但獎勵提升六倍NBA:防守滿分,我帶登哥奪冠在無限世界努力保持正常人狀態瓦:紅溫型選手,隊友越紅我越強領主:開局化身天災,戰場成禁區最終試煉遊戲夢幻西遊:開局一段鐵絲我無敵了我獨自挖礦顧總太太把你拉黑了喬若星顧景琰斬神:熾天使嫌棄後我直升至高神火影:掛機就變強七零:被趕出家門後我轉頭嫁軍官失控星光末日星晶:我有一個契約獸軍團

其獨立訪問量可能一天都不過百,而且大多時候來源是同樣的電腦,所以透過這種注入惡意指令碼的方式能控制的電腦實在有限。

這樣不會很不值得嗎?

不過她並沒有繼續想下去。反正齊輝找她來只是為了解決問題,她也就專心於此便好。

遭到SQL隱碼攻擊之後標準的事件響應方式包括三部分:

一、關閉網站

二、檢視IIS日誌,查詢引起攻擊的漏洞源網頁

三、增強改進ASP頁面,防堵漏洞。【注1】

不過這三部是屬於危機響應的方案,亡羊補牢的意味大於解決問題,治標不治本。網站切斷了外部連結之後等於關閉,只有內部ip可以連線。然後透過日誌查詢,鍾錦很快確定了漏洞所在頁面。

仔細瀏覽了前後臺程式碼之後,鍾錦發現這個漏洞十分明顯,而且修改起來並不困難。

“注入點我已經找到了,看這裡,是儲存過程使用執行命令的引數問題。這裡引數不要直接寫入,要用傳參……”

鍾錦一邊說,一邊迅速改動著文件,沒幾分鐘就完成修改。刷洗頁面之後,與原來無異。但是透過簡單的驗證之後發現,頁面已經無法進行注入攻擊。

齊輝畢竟實習這麼久,鍾錦做了一步他就看明白了。

“不過你們網站裡類似的漏洞還不少,估計所有的儲存程式都要梳理一遍。”鍾錦提示齊輝,“否則再次開啟公共訪問之後,攻擊還會出現。”

齊輝點頭:“知道怎麼修改堵漏洞就行,剩下的我慢慢來吧,正好可以找老闆要加班工資。”

說完三個人都笑了。

“我再幫你查一下有沒有其他種類漏洞。”鍾錦說著開啟自己的網盤,從裡面拖了一個掃描器出來。

雖然是小公司的內部站,但也並不是簡單的幾個表格幾個頁面組成的。前臺後臺加起來上千個檔案,光是基本表格就有幾十張張,而大量的sql儲存過程最可能隱含可注入點。鍾錦要是想全部看完根本不現實,而這種原本用於駭客攻擊的掃描手段卻是此刻最合適的。

鍾錦所用的掃描器是在國內較為有名的駭客論壇下到的,不過對漏洞和字典的更新則由她自己進行。其實掃描器本身並不重要,關鍵是其中應用到的漏洞。對於大多數駭客的攻擊來講都是如此。誰掌握了最新的,無人知道的漏洞,誰便能在駭客戰爭中拔得頭籌。這也是為什麼0day(沒有補丁的漏洞利用程式)如此重要,人人爭搶。

掃描的速度很快,返回的注入檔案、注入點型別和數目都一條條清晰顯示在了軟體中。

根據結果,鍾錦判斷原本公司外包建立的基礎資料庫網站還算過得去,資料庫表格的建立和各種呼叫選擇,與前臺演算法和交流都算得上中規中矩,並且不算特別落伍。也因此可注入點十分少,就算有也都是後來發現的漏洞,甚至是極少有人知道的注入點。

然而在大聖公司進行獨立開發之後,新增加的功能和頁面中則出現了大量的五花八滿的漏洞。有些注入點十分明顯簡單,幾乎是人人皆知。鍾錦實在沒有想到資料庫程式設計發展到今天,還會有人犯如此低階的錯誤。

不過這也不難理解,不看漏洞,單看程式碼本身,大聖商貿的內部網站也已經成了一場災難。因為經手的人太多,而且都是沒經驗的在校實習生,於是便產生了大量的冗餘檔案,並且程式碼臃腫,演算法毫無簡潔快速可言。鍾錦甚至在一個檔案裡看到了四重迴圈。也就是這網站的資料庫還不算特別大,又是內部網站訪問量有限,否則早就卡死了。

這樣的開發導致系統脆弱得跟篩子似的,隨處可見破綻。

鍾錦不是傻子,沒可能給人做白功,從根本上梳理整頓補上所有漏洞。事實上,想

本章未完,點選下一頁繼續。

目錄
龍型玉牒傾城第一懶妃幸福生活從05年開始腐敗貪官心理恐慌致死的精神旅程:官療世紀風口王者:六邊形戰士開創AG王朝
返回頂部