警惕網站sql注入漏洞 時刻關注網絡安全

警惕網站sql注入漏洞 時刻關注網絡安全

聚焦 2017-08-31 09:37

周圍一些入門級的做網站的所謂高手,大多是自學成才,一開始用網絡上開源的內容管理系統做網站,自己寫個模板嵌入進去,再后來熟練了些就開始嘗試自己寫網站后臺,雖然沒有成熟的開源系統功能豐富,但是修改起來靈活自如,而且能保證所需要的基本功能,因此網站制作行業的程序代碼是五花八門。

 

無論如何,網站的后臺是給管理人員更新和維護網站用的,最多也就那么幾個人使用后臺,一般也沒有人在乎后臺的功能多不多,頁面美不美,對于他們來說,只要夠用就行。但是,對于網絡上那些偽黑客而言,這些不入流的系統正逐漸成為他們進攻的對象,他們先用一些購買來的或者自己開發的掃描工具對這些網站的管理入口進行掃描,一般他們會從網上搜集一些常用的入口字典,這些字典中包括/admin/index.php、/admin/login.php、/login.php等等常用的后臺管理入口路徑,這是第一步工作,而有些網站管理員為了圖方便,甚至在首頁赤裸裸的放上后臺入口的鏈接,也許真的只是圖管理后臺方便,給這些別有用心的人減少了第一步的麻煩。

接下來,就是要牽扯到用戶登錄了,一般最常用的也最有效的就是窮舉法,也是利用網絡上常用的用戶字典來逐個掃描,這里就不再多說,沒有多少技術含量,電腦小白也可以一個一個的輸入測試登錄。要說的是sql注入的漏洞,這個漏洞可是了不得,可以讓網站的整個數據庫被別人下載,當然最重要的是用戶的數據,sql漏洞的原因就是沒有對用戶輸入的用戶名和密碼數據進行字符過濾,對于懂得sql語法的人來說,利用這個漏洞,就可以在本該輸入用戶名(字符串)的地方輸入了sql語句,sql語句可以做你想對數據庫進行的任何操作,甚至刪除整個數據庫,能讓網站瞬間崩潰,而如果網站數據庫沒有做備份的話,那么網站的數據就永遠也找不回來了。

其實,補上這個漏洞也很簡單,一般專業寫代碼的人或者了解過網站安全知識的人都應該知道并且不會故意犯這個錯誤,可是偏偏大多數自學成才者忽略了這一點,于是大批的網站就成了黑客賺錢的工具,一般他們不會把事情做絕,不會影響到正常的訪問,他們盜走網站的用戶數據,然后倒手賣給需要的人,或者在網站里放上一些商業網站的鏈接(這些鏈接正常訪問網站是看不到的)以提高這些網站的權重。

在此,呼吁同行們一定要關注網站安全,功能的豐富是基于代碼的安全可靠為前提的,一定要仔細檢查自己的代碼,避免悲劇的發生。

黑帮电子游戏