一个属于你的次元网络基地
 
昨日:篇  今日:篇   总帖:篇   会员:
小狼人Lv92   
手机只需发条消息即可开始大规模SQL注入攻击     文章,资讯


SQL注入(SQLi)利用不安全 Web App 和数据库驱动的类似软件,抽取或篡改数据(如用户账户记录),甚至在服务器上执行Shell指令。Image

这是合法用户和攻击者提交的代码,没有经过验证和清晰所导致的结果。被攻击软件或许期待的是一个订单号,而黑客发过去的却是一条SQL语句,而这恶意代码片段被包含到接下来的数据库查询中,让服务器按黑客的指令吐出敏感数据或执行他/她期待的动作。

据所掌握的信息可知,用户可租用喀秋莎扫描器专业版(Katyusha Scanner Pro)每月200美元租金;或者在自己的系统上安装一个,500美元。该软件使用免费渗透测试工具Anarchi扫描器对网站执行SQLi攻击。最重要的是,它能通过Telegram即时消息系统进行控制。

Image

所以,基本上,用户可以在联网服务器上执行喀秋莎——无论是租用还是自己安装,然后用Telegram发送指令——比如攻击somepoorbastard.biz或mydietpillsnotascam.org之类的网站,直到命中一个有漏洞的网站。如果有专业版,还可以自动抽取登录凭证和内部数据库内容。轻量级版本也可用——只要你觉得自己可以利用任何已知漏洞。


这基本上意味着,没有技术背景的罪犯,也能很容易地用手机对无数公司企业发起攻击。如上所述,可通过Web门户控制,也可以通过Telegram文字消息控制。威胁情报公司 Recorded Future 的研究人员,是在暗网最封闭的隐藏黑客论坛上发现该软件包的售卖的。


Recorded Future 在博客中解释称:“在黑客过程可通过标准Web接口控制的同时,喀秋莎扫描器的独特功能,还能让罪犯上传目标网站列表,对多个目标发起同步攻击,通过Telegram并行无缝地进行控制。”


该技术受到了脚本小子的一致好评,其专业的客户支持也收到了极高赞誉。当然,经验老道的网络罪犯,也可以在他们的智能手机或平板上用SSH隧道做到这些;但喀秋莎实在是太易用了——令人担忧的地方正在于此。Image

攻击演示:某人通过telegram控制喀秋莎

扫描完成后,喀秋莎会对每个发现的目标显示Alexa网站评级,提供所发现Web安全漏洞的潜在重要性与利用可能性指南。

喀秋莎扫描器这种高度健壮又不贵的在线工具,降低了网络攻击的技术门槛,只会进一步恶化各公司遭受的数据泄露问题,凸显出定期基础设施安全审计的重要性。

信息安全厂商 Positive Technologies 的一份调查研究显示,2017年第一季度流传最广的攻击形式就是SQLi和跨站脚本攻击,各占被检测攻击总数的1/3。该报告将政府机构的Web应用列为了黑客首要攻击目标,其后是IT公司和金融机构,教育机构排在第四位。

注:喀秋莎这个工具名,映射的是苏联在二战期间研发的一款标志性多管火箭发射器,以其隐秘性和破坏性成为了纳粹军队的噩梦。

 8  已被阅读了3228次  楼主 2017-07-19 21:42:08
回复列表

回复:手机只需发条消息即可开始大规模SQL注入攻击

加入官群 QQ咨询 友链展示 申请友链
粤ICP备18094291号
您的IP:13.58.191.60,2024-12-27 15:28:00,Processed in 0.0922 second(s).
免责声明: 本网不承担任何由内容提供商提供的信息所引起的争议和法律责任。
Powered by HadSky 8.1.0
已有0次打赏
(8) 分享
分享

请保存二维码或复制链接进行分享

取消