雅虎貢獻(xiàn)者網(wǎng)站(http://contributor.yahoo.com/)最近再次曝出存在SQL注入漏洞。漏洞于幾個(gè)月之前被提交，雅虎修復(fù)之后便以知名度下降為理由關(guān)閉了貢獻(xiàn)者網(wǎng)站。

漏洞發(fā)現(xiàn)過程

漏洞是由安全研究員Behrouz Sadeghipour發(fā)現(xiàn)的。通過盲注，Behrouz發(fā)現(xiàn)了雅虎貢獻(xiàn)者網(wǎng)站存在一個(gè)SQL漏洞，該漏洞可能會使黑客利用來竊取用戶和作者的個(gè)人信息。

接到Behrouz的報(bào)告之后，雅虎積極響應(yīng)，不到一個(gè)月的時(shí)間便對該漏洞進(jìn)行了修復(fù)，但是修復(fù)之后，雅虎不久便關(guān)閉了該網(wǎng)站，雅虎給出的理由是“網(wǎng)站的知名度不斷下降”，然后便刪除了網(wǎng)站上的內(nèi)容，只保留了部分用戶的“租用空間內(nèi)容”。(截止到發(fā)稿前，該網(wǎng)址已經(jīng)不可解析，會直接跳轉(zhuǎn)到雅虎主站)

一些關(guān)鍵的漏洞是會暴漏網(wǎng)站的重要且敏感的信息的，這個(gè)我們大家都知道。一個(gè)較為嚴(yán)重的SQL漏洞極有可能將整個(gè)數(shù)據(jù)庫的信息全部暴漏出來甚至有可能導(dǎo)致數(shù)據(jù)庫被拖的嚴(yán)重后果。而本次漏洞出現(xiàn)在以下兩個(gè)鏈接之中：

http://contributor.yahoo.com/forum/search/?

http://contributor.yahoo.com//library/payments/data-table/?

漏洞允許黑客在url中注入SQL命令，從而輕易獲取到數(shù)據(jù)庫中的信息。

2012年，雅虎貢獻(xiàn)者網(wǎng)站曾被一伙名為“D33DS Company”的黑客攻擊，導(dǎo)致453,491條email用戶名和密碼泄露。據(jù)了解，那次的攻擊黑客所使用的就是SQL注入攻擊。

SQL注入以及其影響

SQL Injection (SQLi)攻擊已經(jīng)出現(xiàn)了十多年了。其主要是通過從URL中尋找過濾不嚴(yán)的注入點(diǎn)從而通過該注入點(diǎn)直接寫入SQL命令，使得服務(wù)器直接執(zhí)行這些被精心、惡意構(gòu)造的查詢代碼，一旦出現(xiàn)，直接相當(dāng)于數(shù)據(jù)庫赤裸裸的躺在黑客面前無任何秘密可言。

關(guān)于SQL攻擊的案例看這里：http://search.aol.com/aol/search?q=site%3Afreebuf.com+sql

SQL攻擊利器sqlmap簡介戳這里：http://www.freebuf.com/articles/web/29942.html

根據(jù)安全公司Veracode于2014年的安全軟件報(bào)告聲明，SQL注入仍舊是不可忽視的嚴(yán)重問題。仍然以32%的攻擊比率持續(xù)威脅著互聯(lián)網(wǎng)的Web安全。

“目前，我們正在看到每天有超過50,000次的攻擊嘗試落入我們的監(jiān)測之中，這些攻擊請求中的大多數(shù)都是自動完成的，而且大都是針對于一些應(yīng)用較為廣泛的CMS和其他的網(wǎng)絡(luò)項(xiàng)目(Joomla, WordPress, vBulletin等)。”

Sucuri公司的安全研究員David Dede在其blog中這樣寫道。

SQL注入還將持續(xù)增長

安全公司的分析表明，隨著時(shí)間的推移，SQL注入的嘗試次數(shù)不僅不會減少，反而會不斷增長。

研究人員補(bǔ)充說道：

“如果我們深入分析這些數(shù)據(jù)，并將攻擊按照地理位置進(jìn)行分類標(biāo)注，我們很清晰的看到，這些攻擊無處不在。很多人認(rèn)為，俄羅斯，巴西，羅馬尼亞等少數(shù)國家是網(wǎng)絡(luò)攻擊的來源，但是對于SQL注入攻擊來說，美國，印度，印度尼西亞，和中國才是攻擊的源頭。”

SQL注入是一種真正具有威脅的攻擊方式，世界各地的黑客每天樂此不疲地進(jìn)行著SQL注入。

“如果你是一個(gè)開發(fā)者，你應(yīng)該充分利用OWASP的關(guān)于SQL注入的信息并盡最大的努力阻止SQL注入。”

參考來源：http://thehackernews.com/2014/10/sql-injection-vulnerability-in-yahoo.html