中国领先的IT技术网站
|
|

手机只需发条消息即可开始大规模SQL注入攻击

SQL注入(SQLi)利用不安全 Web App 和数据库驱动的类似软件,抽取或篡改数据(如用户账户记录),甚至在服务器上执行Shell指令。

作者:nana来源:安全牛|2017-07-18 16:00

【51CTO活动】8.26 带你深度了解清华大学、搜狗基于算法的IT运维实践与探索


SQL注入(SQLi)利用不安全 Web App 和数据库驱动的类似软件,抽取或篡改数据(如用户账户记录),甚至在服务器上执行Shell指令。

手机只需发条消息即可开始大规模SQL注入攻击

这是合法用户和攻击者提交的代码,没有经过验证和清晰所导致的结果。被攻击软件或许期待的是一个订单号,而黑客发过去的却是一条SQL语句,而这恶意代码片段被包含到接下来的数据库查询中,让服务器按黑客的指令吐出敏感数据或执行他/她期待的动作。

据所掌握的信息可知,用户可租用喀秋莎扫描器专业版(Katyusha Scanner Pro)每月200美元租金;或者在自己的系统上安装一个,500美元。该软件使用免费渗透测试工具Anarchi扫描器对网站执行SQLi攻击。最重要的是,它能通过Telegram即时消息系统进行控制。

所以,基本上,用户可以在联网服务器上执行喀秋莎——无论是租用还是自己安装,然后用Telegram发送指令——比如攻击somepoorbastard.biz或mydietpillsnotascam.org之类的网站,直到命中一个有漏洞的网站。如果有专业版,还可以自动抽取登录凭证和内部数据库内容。轻量级版本也可用——只要你觉得自己可以利用任何已知漏洞。

这基本上意味着,没有技术背景的罪犯,也能很容易地用手机对无数公司企业发起攻击。如上所述,可通过Web门户控制,也可以通过Telegram文字消息控制。威胁情报公司 Recorded Future 的研究人员,是在暗网最封闭的隐藏黑客论坛上发现该软件包的售卖的。

Recorded Future 在博客中解释称:“在黑客过程可通过标准Web接口控制的同时,喀秋莎扫描器的独特功能,还能让罪犯上传目标网站列表,对多个目标发起同步攻击,通过Telegram并行无缝地进行控制。”

该技术受到了脚本小子的一致好评,其专业的客户支持也收到了极高赞誉。当然,经验老道的网络罪犯,也可以在他们的智能手机或平板上用SSH隧道做到这些;但喀秋莎实在是太易用了——令人担忧的地方正在于此。

攻击演示:某人通过telegram控制喀秋莎

攻击演示:某人通过telegram控制喀秋莎

扫描完成后,喀秋莎会对每个发现的目标显示Alexa网站评级,提供所发现Web安全漏洞的潜在重要性与利用可能性指南。

喀秋莎扫描器这种高度健壮又不贵的在线工具,降低了网络攻击的技术门槛,只会进一步恶化各公司遭受的数据泄露问题,凸显出定期基础设施安全审计的重要性。

信息安全厂商 Positive Technologies 的一份调查研究显示,2017年第一季度流传最广的攻击形式就是SQLi和跨站脚本攻击,各占被检测攻击总数的1/3。该报告将政府机构的Web应用列为了黑客首要攻击目标,其后是IT公司和金融机构,教育机构排在第四位。

注:喀秋莎这个工具名,映射的是苏联在二战期间研发的一款标志性多管火箭发射器,以其隐秘性和破坏性成为了纳粹军队的噩梦。

【编辑推荐】

  1. 黑客如何使用Google云服务攻击企业
  2. RED_HAWK:基于PHP实现的信息收集与SQL注入漏洞扫描工具
  3. 最新GhostHook攻击可以绕过Windows PatchGuard防护
  4. Struts2 S2-048高危漏洞复现!详解几个漏洞攻击载荷利用的对比分析
  5. 如何有效规避本地文件包含简单利用的漏洞攻击
【责任编辑:IT疯 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

热门职位+更多

读 书 +更多

精通EJB 3.0

本书是关于EJB 3.0的专业技术教程,专注于EJB的概念、方法、开发过程的介绍。同时,本书还研究许多高端的EJB知识,使得开发者能够真正理解...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× 官方软考报名与培训中心