日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
手機(jī)只需發(fā)條消息即可開(kāi)始大規(guī)模SQL注入攻擊

SQL注入(SQLi)利用不安全 Web App 和數(shù)據(jù)庫(kù)驅(qū)動(dòng)的類(lèi)似軟件,抽取或篡改數(shù)據(jù)(如用戶(hù)賬戶(hù)記錄),甚至在服務(wù)器上執(zhí)行Shell指令。

成都創(chuàng)新互聯(lián)是一家以成都網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)、品牌設(shè)計(jì)、軟件運(yùn)維、營(yíng)銷(xiāo)推廣、小程序App開(kāi)發(fā)等移動(dòng)開(kāi)發(fā)為一體互聯(lián)網(wǎng)公司。已累計(jì)為成都茶樓設(shè)計(jì)等眾行業(yè)中小客戶(hù)提供優(yōu)質(zhì)的互聯(lián)網(wǎng)建站和軟件開(kāi)發(fā)服務(wù)。

這是合法用戶(hù)和攻擊者提交的代碼,沒(méi)有經(jīng)過(guò)驗(yàn)證和清晰所導(dǎo)致的結(jié)果。被攻擊軟件或許期待的是一個(gè)訂單號(hào),而黑客發(fā)過(guò)去的卻是一條SQL語(yǔ)句,而這惡意代碼片段被包含到接下來(lái)的數(shù)據(jù)庫(kù)查詢(xún)中,讓服務(wù)器按黑客的指令吐出敏感數(shù)據(jù)或執(zhí)行他/她期待的動(dòng)作。

據(jù)所掌握的信息可知,用戶(hù)可租用喀秋莎掃描器專(zhuān)業(yè)版(Katyusha Scanner Pro)每月200美元租金;或者在自己的系統(tǒng)上安裝一個(gè),500美元。該軟件使用免費(fèi)滲透測(cè)試工具Anarchi掃描器對(duì)網(wǎng)站執(zhí)行SQLi攻擊。最重要的是,它能通過(guò)Telegram即時(shí)消息系統(tǒng)進(jìn)行控制。

所以,基本上,用戶(hù)可以在聯(lián)網(wǎng)服務(wù)器上執(zhí)行喀秋莎——無(wú)論是租用還是自己安裝,然后用Telegram發(fā)送指令——比如攻擊somepoorbastard.biz或mydietpillsnotascam.org之類(lèi)的網(wǎng)站,直到命中一個(gè)有漏洞的網(wǎng)站。如果有專(zhuān)業(yè)版,還可以自動(dòng)抽取登錄憑證和內(nèi)部數(shù)據(jù)庫(kù)內(nèi)容。輕量級(jí)版本也可用——只要你覺(jué)得自己可以利用任何已知漏洞。

這基本上意味著,沒(méi)有技術(shù)背景的罪犯,也能很容易地用手機(jī)對(duì)無(wú)數(shù)公司企業(yè)發(fā)起攻擊。如上所述,可通過(guò)Web門(mén)戶(hù)控制,也可以通過(guò)Telegram文字消息控制。威脅情報(bào)公司 Recorded Future 的研究人員,是在暗網(wǎng)最封閉的隱藏黑客論壇上發(fā)現(xiàn)該軟件包的售賣(mài)的。

Recorded Future 在博客中解釋稱(chēng):“在黑客過(guò)程可通過(guò)標(biāo)準(zhǔn)Web接口控制的同時(shí),喀秋莎掃描器的獨(dú)特功能,還能讓罪犯上傳目標(biāo)網(wǎng)站列表,對(duì)多個(gè)目標(biāo)發(fā)起同步攻擊,通過(guò)Telegram并行無(wú)縫地進(jìn)行控制?!?/p>

該技術(shù)受到了腳本小子的一致好評(píng),其專(zhuān)業(yè)的客戶(hù)支持也收到了極高贊譽(yù)。當(dāng)然,經(jīng)驗(yàn)老道的網(wǎng)絡(luò)罪犯,也可以在他們的智能手機(jī)或平板上用SSH隧道做到這些;但喀秋莎實(shí)在是太易用了——令人擔(dān)憂(yōu)的地方正在于此。

攻擊演示:某人通過(guò)telegram控制喀秋莎

掃描完成后,喀秋莎會(huì)對(duì)每個(gè)發(fā)現(xiàn)的目標(biāo)顯示Alexa網(wǎng)站評(píng)級(jí),提供所發(fā)現(xiàn)Web安全漏洞的潛在重要性與利用可能性指南。

喀秋莎掃描器這種高度健壯又不貴的在線工具,降低了網(wǎng)絡(luò)攻擊的技術(shù)門(mén)檻,只會(huì)進(jìn)一步惡化各公司遭受的數(shù)據(jù)泄露問(wèn)題,凸顯出定期基礎(chǔ)設(shè)施安全審計(jì)的重要性。

信息安全廠商 Positive Technologies 的一份調(diào)查研究顯示,2017年第一季度流傳最廣的攻擊形式就是SQLi和跨站腳本攻擊,各占被檢測(cè)攻擊總數(shù)的1/3。該報(bào)告將政府機(jī)構(gòu)的Web應(yīng)用列為了黑客首要攻擊目標(biāo),其后是IT公司和金融機(jī)構(gòu),教育機(jī)構(gòu)排在第四位。

注:喀秋莎這個(gè)工具名,映射的是蘇聯(lián)在二戰(zhàn)期間研發(fā)的一款標(biāo)志性多管火箭發(fā)射器,以其隱秘性和破壞性成為了納粹軍隊(duì)的噩夢(mèng)。


網(wǎng)站名稱(chēng):手機(jī)只需發(fā)條消息即可開(kāi)始大規(guī)模SQL注入攻擊
標(biāo)題來(lái)源:http://www.5511xx.com/article/cddeojj.html