从雅虎频繁曝出SQL漏洞看SQL注入威胁

雅虎贡献者网站(http://contributor.yahoo.com/)最近再次曝出存在SQL注入漏洞。漏洞于几个月之前被提交,雅虎修复之后便以知名度下降为理由关闭了贡献者网站。

漏洞发现过程

漏洞是由安全研究员Behrouz Sadeghipour发现的。通过盲注,Behrouz发现了雅虎贡献者网站存在一个SQL漏洞,该漏洞可能会使黑客利用来窃取用户和作者的个人信息。

接到Behrouz的报告之后,雅虎积极响应,不到一个月的时间便对该漏洞进行了修复,但是修复之后,雅虎不久便关闭了该网站,雅虎给出的理由是“网站的知名度不断下降”,然后便删除了网站上的内容,只保留了部分用户的“租用空间内容”。 (截止到发稿前,该网址已经不可解析,会直接跳转到雅虎主站)

一些关键的漏洞是会暴漏网站的重要且敏感的信息的,这个我们大家都知道。一个较为严重的SQL漏洞极有可能将整个数据库的信息全部暴漏出来甚至有可能导致数据库被拖的严重后果。而本次漏洞出现在以下两个链接之中:

漏洞允许黑客在url中注入SQL命令,从而轻易获取到数据库中的信息。

2012年,雅虎贡献者网站曾被一伙名为“ D33DS Company ”的黑客攻击,导致453,491条email用户名和密码泄露 。据了解,那次的攻击黑客所使用的就是SQL注入攻击。

SQL注入以及其影响

SQL Injection (SQLi)攻击已经出现了十多年了。其主要是通过从URL中寻找过滤不严的注入点从而通过该注入点直接写入SQL命令,使得服务器直接执行这些被精心、恶意构造的查询代码,一旦出现,直接相当于数据库赤裸裸的躺在黑客面前无任何秘密可言。

根据安全公司Veracode于2014年的安全软件报告声明,SQL注入仍旧是不可忽视的严重问题。仍然以32%的攻击比率持续威胁着互联网的Web安全。

Sucuri公司的安全研究员David Dede在其blog中这样写道。

SQL注入还将持续增长

安全公司的分析表明,随着时间的推移,SQL注入的尝试次数不仅不会减少,反而会不断增长。

研究人员补充说道:

SQL注入是一种真正具有威胁的攻击方式,世界各地的黑客每天乐此不疲地进行着SQL注入。