名为的注入攻击正在容易

最近，和接连被黑，被黑的根源则在于SQL注入攻击。这个呈下降趋势的攻击方式，再次成为安全人士的焦点。

资安厂商Websense在3月29日发布了一则消息，一个被命名为LizaMoon的(SQL Injection)SQL注入攻击正在席卷全球，已有许多站遭受攻击，页内容中被塞了lizamoon字串，疑似挂马连结，透过Google查询lizamoon. com关键词，被稙入恶意连结的URL数在两天内由28,000个急速增加到380,000个(2011/03/31 22:00 UTC+8时的资料)，有如海啸狂扫(Websense说: it makes it one of the bigger mass-injection attacks we have ever seen.)， 甚至iTune站也名列其中。

不过，依据分析iTune中出现的恶意连结已被HtmlEncode为script不至产生危害，并且推 断中镖数据下载自其他信息源，并非iTune本身受害，而加上HtmlEncode的处置也深得Websense赞许。(HtmlEncode真的很重 要! 由 4特别为它提供更简洁的新语法就知道它被呼叫的频率该有多高，如果你不知道为何它与资安有关，不妨看一下防骇指南)

httq: // lizamoon. com / ur . php这个URL目前是无效的(该不会因为被太多植入连结站DDoS打挂了吧? XD)，但站是活的。在它曾经有效的一段期间，p会传回一段Script将用户导向一个著名的假冒防毒站，不过该站也挂点中。 Websense调查了lizamoon. com的底细，发现它是3/25才用假资料注册的，换句话说，这波攻击只花了短短几天就污染了超过38万个址(以URL计，非站数)，而且开始注入开 始出现lizamoon以外的域名的Script连结址。

目前络上找到的数据尚少，无从推断太多攻击细节，不过我在官方讨论区的一个讨论串倒是找到不少蛛丝马迹...

My database was inserted a string like .

Event(Even?) the username field in aspnet_users table. So now I can\'t login my website if I use security.

Who know about this problem please tell me what happening with my database or my website.

由开场白看来，连aspnet_users的username字段都被注入恶意script连结，非常像古早前看过的游击式(SQL Injection)SQL注入攻击， 攻击程序将全部SQL指令浓缩成一列，随意尝试连上有带QueryString参数并夹带攻击用的SQL指令加在址后方，一旦该页有(SQL Injection)SQL注入漏洞，则附加于参数中的SQL指令就会被执行，查询SQL Server的sysobjects, syscolumns，列出所有的文字字段，并透过UPDATE指令在所有文字字段都插入恶意script连结，一旦这些字段被读取显示在前端，又未经 HtmlEncode转换，页中就会包含

%2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)+as+varchar(8)))-- - 95.64.9.18 Mozilla/5.0+(Windows;+U;+Windows+NT+5.0;+en-US;+rv:1.4)+Gecko/+Netscape/7.1+(ax) - 302 498

17:56:49 GET /

.asp prod=MG0011\'+update+tblMembers+set+Forename=REPLACE(cast(Forename+as+varchar(8000)),cast(char(60)%2Bchar(47)%2Bchar(116)%2Bchar(105) ....省略, 用CHR(nn)一个字符一个字符组出 %2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)+as+varchar(8)))-- 80 - 95.64.9.18 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.0;+en-US;+rv:1.4)+Gecko/+Netscape/7.1+(ax)

据报道 由这些Log来看，恶意SQL会锁定特定Table及字段，不像上回观察用sysobjects, syscolumns+CURSOR乱枪打鸟，显示本次攻击并非打了就跑，会先掌握数据库Schema的信息后再精准下手，所以前后应有多次存取(不知道为什么要选择这种做法，我还是觉得游击式的玩法比较有创意，唯一的缺点是Table、字段及数据很多时，执行起来耗时较久)

3/31起出现了非LizaMoon的域用来挂p (tadygus . com, verhoef training. co. uk, t6ryt56 . info) ，显示透过防火墙封锁lizamoon. com也无法社绝使用者误连恶意站的可能。

虽然对LizaMoon (SQL Injection)SQL注入充满好奇，但依目前搜集到的资料就只能做出以上推测，如果有新的发展再做补充啰。

老话一句，大家千万不要把(SQL Injection)SQL注入写进程序里变成害站裸奔的猪头呀!

西安前列腺炎治疗哪家好玉林治疗白癜风西安白癜风好的医院石家庄治妇科的医院
杭州好白癜风医院
呼和浩特治疗早泄医院