EX4北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號(hào),微信開發(fā)-云智互聯(lián)

前幾天微軟skype的官方博客網(wǎng)站被黑客突破，雖然很快進(jìn)行了修復(fù)，但從網(wǎng)友截屏的圖片來看，應(yīng)該一些抗議美國國安局監(jiān)聽行為和反對(duì)微軟在軟件里隱藏后門的黑客所為。EX4北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號(hào),微信開發(fā)-云智互聯(lián)

微軟skype的官方博客使用的是WordPress平臺(tái)，Wordpress目前是世界上流行的博客平臺(tái)，市場(chǎng)占有率高達(dá)70%，這次攻擊事件雖然牽涉到wordpress，但并不能說明wordpress平臺(tái)很脆弱，事實(shí)上脆弱的是wordpress上多達(dá)百萬的各種第三方插件，這些插件的質(zhì)量良莠不齊，如果你使用錯(cuò)誤的插件，沒有及時(shí)更新到新版本，那你的wordpress網(wǎng)站就會(huì)成為黑客的目標(biāo)。EX4北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號(hào),微信開發(fā)-云智互聯(lián)

All Video Gallery就是這樣的一個(gè)典型例子。早在2012年6月份就有安全網(wǎng)站公布這個(gè)插件的1.1版有嚴(yán)重的安全漏洞，但我今天還是很輕松的使用谷歌搜到了仍然使用這個(gè)有漏洞的插件的網(wǎng)站。本文就是要以這個(gè)網(wǎng)站為靶子，給大家實(shí)戰(zhàn)講解黑客是如何利用sql注入技術(shù)攻破一個(gè)網(wǎng)站的。EX4北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號(hào),微信開發(fā)-云智互聯(lián)

EX4北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號(hào),微信開發(fā)-云智互聯(lián)

這個(gè)網(wǎng)站看起來像是印度或巴基斯坦的某個(gè)公立學(xué)校的網(wǎng)站。我不想在這里透露這個(gè)網(wǎng)站的真實(shí)地址，如果你也想實(shí)戰(zhàn)一下，可以自己架設(shè)一個(gè)wordpress網(wǎng)站，安裝上這個(gè)有安全漏洞的插件。如果你真的有興趣想看看這個(gè)網(wǎng)站、非惡意的，請(qǐng)關(guān)注我的微薄 @外刊IT評(píng)論，和我私信聯(lián)系。EX4北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號(hào),微信開發(fā)-云智互聯(lián)

SQL注入的基本原理EX4北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號(hào),微信開發(fā)-云智互聯(lián)

sql注入成因主要是對(duì)頁面參數(shù)沒有進(jìn)行非法字符校驗(yàn)導(dǎo)致，比如說一個(gè)訂單頁面要顯示某個(gè)客戶的所有訂單列表，這個(gè)頁面的地址可能是http://xxx.com/list.php?customID=3，我們推理，這樣頁面的后臺(tái)處理的sql應(yīng)該是這樣的：EX4北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號(hào),微信開發(fā)-云智互聯(lián)

select * form custom_order where custom_id = {$_GET['customID']}EX4北京網(wǎng)站設(shè)計(jì)開發(fā),小程序開發(fā),公眾號(hào),微信開發(fā)-云智互聯(lián)