換裁判提示您:看後求收藏(奇妙書庫www.qmshu.tw),接著再看更方便。
大聖商貿為了管理方便,自然也建立了內部的管理系統。實際上就是一個ASP。加SQL的資料庫罷了。這個資料庫也不是他們自己僱人建立的,而是外包給了一家專業公司。這家外包的公司很快將資料庫開發完成,然而隨著大聖商貿的發展,不斷需要增加新的功能,新的資料庫。每一次後續開發需要大量金錢不說,還十分麻煩,而且兩年之後,給他們開發系統的公司也因為人事變動不存在了。
於是大聖商貿只能自己進行資料庫的維護和後續開發工作。原本的IT部門主管,只負責內部計算機網路、硬體、通訊,郵件系統等等,現在還要負責程式碼開發,功能新增,有些力不從心。於是便開始僱傭合同程式碼工和實習生。
齊輝就是在這種情況下被招進來的。
“齊輝,你是怎麼和你老闆說的?”鍾錦問道,“他同意你帶外人來檢視系統?”
齊輝訕笑一聲道:“我們這公司,哪有那麼嚴格負責。況且僱傭的都是實習生,基本每個人都拿著系統的密碼,遠端登入都能修改程式……”
他說了幾句,鍾錦也就明白怎麼回事了。這倒也不算太出奇,還是那句話,對於這樣的小公司,要求用USB秘鑰登陸什麼的,實在太誇張。
“我有和老闆提起,他說如果你做的好,也可以來我們公司實習。”齊輝說到這裡嘿嘿一笑,“不過我估計你是看不上啦,我看你做合同工還差不多。我們公司找的那些寫合同程式碼的,還不如你呢。”
鍾錦笑了笑,沒說什麼。
大聖商貿沒有專門的IT部門辦公室,只是一個大辦公室裡,幾個小隔間分給了技術部。其他都是營銷業務人員,一天到晚不是在打電話就是跑業務。
“看看系統吧。”齊輝很快登入系統,開啟網站,然後分別登陸了資料庫伺服器和前端伺服器。
大聖商貿上至公司老闆,下至跑腿員工,每一個都在使用這套系統。不過既然系統是對內的,就只需要講究功能實用,使用方便,速度快捷,並不需要介面美觀。所以當鍾錦看到這套系統時,對它的難看程度並沒有太驚訝。
倒是賈小蕊叫了一聲。“怎麼這麼難看啊。”
齊輝聽了,便大致解釋一番,兩人你來我往,愉快地聊了起來。
鍾錦開始還聽得他們說什麼,後來就專注於螢幕上的檔案和資料庫管理器等。
“大概瞭解了。”她很快掌握了網站構架。
齊輝開啟幾張表格:“看這裡的程式碼,應該是惡意Javascript指令碼,使用者讀取資料庫之後就會被自動執行這些指令碼,連線到駭客的伺服器。”
“這表已經清理很多遍了,還是不行。應該是SQL隱碼攻擊,我們找不到注入點,結果就是一遍遍的被人篡改。”齊輝問,“我還是第一次親眼看到,也不知道誰這麼閒的。”
鍾錦點點頭:“我知道了。”
這確實是網路攻擊中十分常見的SQL隱碼攻擊。
作者有話要說:唔雖然字數多,可是我知道很多人都要跳過(掏手絹擦淚~
☆、第6章 兩個比賽
SQL隱碼攻擊說到底只是一種入侵手段,而除非駭客對網站本身的許可權和密碼感興趣,否則就還會有後續步驟和目的。
大聖商貿這裡遇到的應該就是後一種。駭客利用這種方式控制訪問該網站的個人電腦或其他終端,然後收集這些終端的資料。
被收集了資料的個人電腦和終端將被駭客隱秘的控制,成為一臺“肉雞”。而以後,當駭客想要對某些網站發動洪水攻擊時,便能方便利用到這些肉雞。或者也可以在其他攻擊中使用肉雞當跳板。
讓鍾錦感到奇怪的是,這樣一個小公司的內部網站,究竟有什麼注入價值。其獨立訪問量可能一天都不過百,而且大多時候來源是同樣的電腦,所以透過這種注入惡意指令碼的方式能控制的電腦實在有限。
這樣不會很不值得嗎?
不過她並沒有繼續想下去。反正齊輝找她來只是為了解決問題,她也就專心於此便好。
遭到SQL隱碼攻擊之後標準的事件響應方式包括三部分:
一、關閉網站
二、檢視IIS日誌,查詢引起攻擊的漏洞源網頁
三、增強改進ASP頁面,防堵漏洞。【注1】
不過這三部是屬於危機響應的方案,亡羊補牢的意味大於解決問題,治標不治本。網站切斷了外部連結之後等於關閉,只有內部ip可以連線。然後透過
