建站策劃

Website development

如何利用SQL注入漏洞攻破一個WordPress網(wǎng)站

發(fā)布時間：2014-04-30 12:20:25

TAGS：

wordpress網(wǎng)站微軟skype wordpress平臺

前幾天微軟skype的官方博客網(wǎng)站被黑客突破，雖然很快進行了修復，但從網(wǎng)友截屏的圖片來看，應該一些抗議美國國安局監(jiān)聽行為和反對微軟在軟件里隱藏后門的黑客所為。

微軟skype的官方博客使用的是WordPress平臺，Wordpress目前是世界上流行的博客平臺，市場占有率高達70%，這次攻擊事件雖然牽涉到wordpress，但并不能說明wordpress平臺很脆弱，事實上脆弱的是wordpress上多達百萬的各種第三方插件，這些插件的質(zhì)量良莠不齊，如果你使用錯誤的插件，沒有及時更新到新版本，那你的wordpress網(wǎng)站就會成為黑客的目標。

All Video Gallery就是這樣的一個典型例子。早在2012年6月份就有安全網(wǎng)站公布這個插件的1.1版有嚴重的安全漏洞，但我今天還是很輕松的使用谷歌搜到了仍然使用這個有漏洞的插件的網(wǎng)站。本文就是要以這個網(wǎng)站為靶子，給大家實戰(zhàn)講解黑客是如何利用sql注入技術(shù)攻破一個網(wǎng)站的。

wordpress網(wǎng)站微軟skype wordpress平臺

這個網(wǎng)站看起來像是印度或巴基斯坦的某個公立學校的網(wǎng)站。我不想在這里透露這個網(wǎng)站的真實地址，如果你也想實戰(zhàn)一下，可以自己架設一個wordpress網(wǎng)站，安裝上這個有安全漏洞的插件。如果你真的有興趣想看看這個網(wǎng)站、非惡意的，請關(guān)注我的微薄 @外刊IT評論，和我私信聯(lián)系。

SQL注入的基本原理

sql注入成因主要是對頁面參數(shù)沒有進行非法字符校驗導致，比如說一個訂單頁面要顯示某個客戶的所有訂單列表，這個頁面的地址可能是http://xxx.com/list.php?customID=3，我們推理，這樣頁面的后臺處理的sql應該是這樣的：

select * form custom_order where custom_id = {$_GET['customID']}

原創(chuàng)不易，未經(jīng)授權(quán)，嚴禁轉(zhuǎn)載

原文地址：http://www.mpian.cn/web/plan/2014-04-30/1051.html

上一篇：某品牌天貓專賣店運營計劃書

下一篇：旅游行業(yè)網(wǎng)站應如何利用圖片吸引消費者？

您還有可能感興趣的內(nèi)容

建站流程

Website development

網(wǎng)站需
求分析
網(wǎng)站策
劃方案
頁面風
格設計
程序設
計研發(fā)
資料錄
入優(yōu)化
確認交
付使用
后續(xù)跟
蹤服務
+86 10 64758810
18510861135

熱門標簽

Website development

客戶評價

更多+

感謝云智互聯(lián)，系統(tǒng)提前完成，在整個項目周期內(nèi)，云智互聯(lián)對待我們并不像是對待客戶，更像是朋友一樣，每一次，都能以專業(yè)的角度向我們提出更合理、更有效的解決方案，并快速、細致地完成我們的每一個需求，再次感謝以至誠之心做事的云智互聯(lián)團隊。

潘濤
我是東方龍馬集團，在云智家做了2個企業(yè)官網(wǎng)，服務態(tài)度超級好。如果想做網(wǎng)站，選擇他家一定不后悔。性價比高，服務態(tài)度好。值得你的信賴！

譚嬌
技術(shù)好，設計精良，操作便利，很專業(yè)！配套的服務和后續(xù)的服務都很好,網(wǎng)站封面堪稱精品，運行方便，后臺操作的簡單。技術(shù)還會耐心教我,很好的云智互聯(lián)（北京）科技有限公司，建站很不錯的。

陳曦
不錯，價格比較合適，重點是響應速度蠻快，有什么問題都會馬上給你解決，公司很滿意，因為他們都是針對每個項目建了相應的討論組，有問題可以再里面提出，人員分工到位，解決問題很及時。

張經(jīng)理