漏洞发现过程
漏洞是由安全研究员Behrouz Sadeghipour发现的。通过盲注,Behrouz发现了雅虎贡献者网站存在一个SQL漏洞,该漏洞可能会使黑客利用来窃取用户和作者的个人信息。
接到Behrouz的报告之后,雅虎积极响应,不到一个月的时间便对该漏洞进行了修复,但是修复之后,雅虎不久便关闭了该网站,雅虎给出的理由是“网站的知名度不断下降”,然后便删除了网站上的内容,只保留了部分用户的“租用空间内容”。(截止到发稿前,该网址已经不可解析,会直接跳转到雅虎主站)
一些关键的漏洞是会暴漏网站的重要且敏感的信息的,这个我们大家都知道。一个较为严重的SQL漏洞极有可能将整个数据库的信息全部暴漏出来甚至有可能导致数据库被拖的严重后果。而本次漏洞出现在以下两个链接之中:
http://contributor.yahoo.com/forum/search/?
http://contributor.yahoo.com//library/payments/data-table/?
漏洞允许黑客在url中注入SQL命令,从而轻易获取到数据库中的信息。
2012年,雅虎贡献者网站曾被一伙名为“D33DS Company”的黑客攻击,导致453,491条email用户名和密码泄露。据了解,那次的攻击黑客所使用的就是SQL注入攻击。
SQL注入以及其影响
SQL Injection (SQLi)攻击已经出现了十多年了。其主要是通过从URL中寻找过滤不严的注入点从而通过该注入点直接写入SQL命令,使得服务器直接执行这些被精心、恶意构造的查询代码,一旦出现,直接相当于数据库赤裸裸的躺在黑客面前无任何秘密可言。
关于SQL攻击的案例看这里:http://search.aol.com/aol/search?q=site%3Afreebuf.com+sql
SQL攻击利器sqlmap简介戳这里:http://www.freebuf.com/articles/web/29942.html
根据安全公司Veracode于2014年的安全软件报告声明,SQL注入仍旧是不可忽视的严重问题。仍然以32%的攻击比率持续威胁着互联网的Web安全。
“目前,我们正在看到每天有超过50,000次的攻击尝试落入我们的监测之中,这些攻击请求中的大多数都是自动完成的,而且大都是针对于一些应用较为广泛的CMS和其他的网络项目(Joomla, WordPress, vBulletin等)。”
Sucuri公司的安全研究员David Dede在其blog中这样写道。
SQL注入还将持续增长
安全公司的分析表明,随着时间的推移,SQL注入的尝试次数不仅不会减少,反而会不断增长。
研究人员补充说道:
“如果我们深入分析这些数据,并将攻击按照地理位置进行分类标注,我们很清晰的看到,这些攻击无处不在。很多人认为,俄罗斯,巴西,罗马尼亚等少数国家是网络攻击的来源,但是对于SQL注入攻击来说,美国,印度,印度尼西亚,和中国才是攻击的源头。”
SQL注入是一种真正具有威胁的攻击方式,世界各地的黑客每天乐此不疲地进行着SQL注入。
“如果你是一个开发者,你应该充分利用OWASP的关于SQL注入的信息并尽最大的努力阻止SQL注入。”