360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

 找回密码
 快速注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
1 2 3 4
查看: 2569|回复: 0
打印 上一主题 下一主题

利用Google蜘蛛爬虫进行SQL注入攻击

[复制链接]

823

主题

909

帖子

4623

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
4623
跳转到指定楼层
楼主
发表于 2015-10-9 11:37:26 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

亲!这问题您也搜索很久了吧?不如咨询下我们吧


613049616  613049616  613049616   613049616   613049616


  国外安全公司发现了来自Google机器人的SQL注入攻击,迫使他们应急的时候设置策略对Google的IP进行屏蔽。
  有件事情我们需要留意的是,几乎所有的云防火墙的规则都会对搜索引擎机器人设置白名单。
  目前来说我们的生活还是很幸福的,但当你发现一个合法的搜索引擎机器人被用来攻击你的网站,你还睡得安稳吗?
  这是几天前我们一个客户的网站所发生的实实在在的案例,我们开始对Google机器人的IP进行屏蔽,根据抓到的请求可以判断它做的是SQL注入攻击。你没听错,对!Google机器人在对你们做SQL注入!

  请求
  我们的发现始于Google机器人的IP地址被SQL注入防护策略屏蔽,各位看官看以下日志(打了点码):
  66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET/url.php?variable=")%20declare%20@q%
  20varchar(8000(%20select%20@q%20=%200x527%20exec(@q)%20--HTTP/1.1" 403 4439 "-"
  "Mozilla/5.0 (compatible; Googlebot/2.1;+http://www.google.com/bot.html)"
  我们的第一反应是觉得这是个伪造的机器人,但当我们检查IP地址来源是却发现这是实实在在的google机器人!
  $ host 66.249.66.138
  138.66.249.66.in-addr.arpa domain name pointercrawl-66-249-66-138.googlebot.com.
  NetRange: 66.249.64.0 - 66.249.95.255
  CIDR: 66.249.64.0/19
  OriginAS:
  NetName: GOOGLE
  进一步调查显示其它相似的请求签名都是来自于Google的IP地址。

  到底咋回事?
  其实Google并不是真有兴趣要黑我们,它是真的爱我们。
  场景是这样的:
  Google机器人正在网站A收集信息,网站A内嵌入了对目标网站B的SQL注入请求链接,Google机器人顺着链接访问网站B,就无意中开始对网站B执行了SQL注入攻击。
  看到这里大家应该懂了吧?

  利用机器人做攻击?
  我们假设有个黑客叫小明。小明每天花很多时间在找web漏洞,所以小明也发现了一堆的漏洞站。而他也很清楚明白,他必须要掩饰他的行为。
  而一个安全人员最普遍的方法都是分析日志。小明也知道这点,所以他现在可能有一个B网站的漏洞,比如SQL注入或者RFI。
  于是小明到自己的网站A上面,写下这些EXP,让爬虫来爬……
  这种类似场景其实很容易想象吧?
  我们已经就这个问题联系谷歌了。对于爬虫,我们不能仅仅只是做白名单,而应该在这前面先对请求做检测!
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则


Archiver|手机版|小黑屋|360wzgj Inc. 百度统计

GMT+8, 2024-11-23 08:28 , Processed in 0.071909 second(s), 30 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表