雅虎频曝出存在SQL注入漏洞
雅虎贡献者网站(http://contributor.yahoo.com/)最近再次曝出存在SQL注入漏洞。漏洞于几个月之前被提交,雅虎修复之后便以知名度下降为理由关闭了贡献者网站。从雅虎频繁曝出SQL漏洞看SQL注入威胁
漏洞发现过程
漏洞是由安全研究员Behrouz Sadeghipour发现的。通过盲注,Behrouz发现了雅虎贡献者网站存在一个SQL漏洞,该漏洞可能会使黑客利用来窃取用户和作者的个人信息。
接到Behrouz的报告之后,雅虎积极响应,不到一个月的时间便对该漏洞进行了修复,但是修复之后,雅虎不久便关闭了该网站,雅虎给出的理由是“网站的知名度不断下降”,然后便删除了网站上的内容,只保留了部分用户的“租用空间内容”。(截止到发稿前,该网址已经不可解析,会直接跳转到雅虎主站)
一些关键的漏洞是会暴漏网站的重要且敏感的信息的,这个我们大家都知道。一个较为严重的SQL漏洞极有可能将整个数据库的信息全部暴漏出来甚至有可能导致数据库被拖的严重后果。而本次漏洞出现在以下两个链接之中:
http://contributor.yahoo.com/forum/search/?
http://contributor.yahoo.com//library/payments/data-table/?
漏洞允许黑客在url中注入SQL命令,从而轻易获取到数据库中的信息。
2012年,雅虎贡献者网站曾被一伙名为“D33DS Company”的黑客攻击,导致453,491条email用户名和密码泄露。据了解,那次的攻击黑客所使用的就是SQL注入攻击。
SQL注入以及其影响
SQL Injection (SQLi)攻击已经出现了十多年了。其主要是通过从URL中寻找过滤不严的注入点从而通过该注入点直接写入SQL命令,使得服务器直接执行这些被精心、恶意构造的查询代码,一旦出现,直接相当于数据库赤裸裸的躺在黑客面前无任何秘密可言。
关于SQL攻击的案例看这里:http://search.aol.com/aol/search?q=site%3Afreebuf.com+sql
SQL攻击利器sqlmap简介戳这里:http://www.freebuf.com/articles/web/29942.html
根据安全公司Veracode于2014年的安全软件报告声明,SQL注入仍旧是不可忽视的严重问题。仍然以32%的攻击比率持续威胁着互联网的Web安全。
“目前,我们正在看到每天有超过50,000次的攻击尝试落入我们的监测之中,这些攻击请求中的大多数都是自动完成的,而且大都是针对于一些应用较为广泛的CMS和其他的网络项目(Joomla, WordPress, vBulletin等)。”
Sucuri公司的安全研究员David Dede在其blog中这样写道。
SQL注入还将持续增长
安全公司的分析表明,随着时间的推移,SQL注入的尝试次数不仅不会减少,反而会不断增长。
研究人员补充说道:
“如果我们深入分析这些数据,并将攻击按照地理位置进行分类标注,我们很清晰的看到,这些攻击无处不在。很多人认为,俄罗斯,巴西,罗马尼亚等少数国家是网络攻击的来源,但是对于SQL注入攻击来说,美国,印度,印度尼西亚,和中国才是攻击的源头。”
SQL注入是一种真正具有威胁的攻击方式,世界各地的黑客每天乐此不疲地进行着SQL注入。
“如果你是一个开发者,你应该充分利用OWASP的关于SQL注入的信息并尽最大的努力阻止SQL注入。” 点一个赞:lol,SQL注入不容忽视啊
Re: 雅虎频曝出存在SQL注入漏洞
这篇帖子信息量很大,感谢分享。雅虎作为大厂还频繁出现SQL注入问题,确实有点让人意外。尤其是贡献者网站之前已经被黑过,泄露过大量用户数据,结果修复漏洞后直接把网站关了,这个处理方式感觉有点“掩耳盗铃”的味道。SQL注入确实是个老问题,但一直没绝迹,开发者如果对参数过滤不够严格,再老的漏洞也可能在现网重现。看到帖子里提到每天有超过5万次攻击尝试,这个数据真挺触目惊心的。Re: 雅虎频曝出存在SQL注入漏洞
这个新闻挺有警示意义的,雅虎这种大厂居然也反复栽在SQL注入上,而且两次都是同一个类型的漏洞。说明很多时候安全修复只是“打补丁”而不是从代码层面彻底杜绝问题。开发者如果对输入过滤和参数化查询不够重视,迟早要吃亏。另外那个攻击来源统计也有点意思,SQL注入已经变成全球性的自动化攻击了,大家做网站还是得把基础安全做好才行。Re: 雅虎频曝出存在SQL注入漏洞
这个新闻真是让人捏把汗,雅虎的SQL注入漏洞已经不是第一次了,之前2012年那次大规模泄露就很严重。这次虽然修复了,但直接关站的处理方式感觉有点仓促,不知道是不是因为漏洞影响太大。文章里提到SQL注入到现在还占攻击的32%,确实是个老生常谈但始终没解决好的问题,开发者们真得重视起来啊。
页:
[1]