走近科学:如何利用Google机器人进行SQL攻击


发布人:admin分类:网络安全浏览量:24发布时间:2017-12-12

老外安全公司发现了来自Google机器人的SQL注入攻击,迫使他们应急的时候设置策略对Google的IP进行屏蔽。


有件事情我们需要留意的是,几乎所有的云防火墙的规则都会对搜索引擎机器人设置白名单。


目前来说我们的生活还是很幸福的,但当你发现一个合法的搜索引擎机器人被用来攻击你的网站,你还睡得安稳吗?


这是几天前我们一个客户的网站所发生的实实在在的案例,我们开始对Google机器人的IP进行屏蔽,根据抓到的请求可以判断它做的是SQL注入攻击。你没听错,对!Google机器人在对你们做SQL注入!


请求

我们的发现始于Google机器人的IP地址被SQL注入防护策略屏蔽,各位看官看以下日志(打了点码):

66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")%20declare%20@q%
20varchar(8000(%20select%20@q%20=%200x527%20exec(@q)%20-- HTTP/1.1" 403 4439 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

我们的第一反应是觉得这是个伪造的机器人,但当我们检查IP地址来源是却发现这是实实在在的google机器人!

$ host 66.249.66.138
138.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-138.googlebot.com.

NetRange:       66.249.64.0 - 66.249.95.255
CIDR:           66.249.64.0/19
OriginAS:       
NetName:        GOOGLE

进一步调查显示其它相似的请求签名都是来自于Google的IP地址。


到底咋回事?

其实Google并不是真有兴趣要黑我们,它是真的爱我们。

场景是这样的:

Google机器人正在网站A收集信息,网站A内嵌入了对目标网站B的SQL注入请求链接,Google机器人顺着链接访问网站B,就无意中开始对网站B执行了SQL注入攻击。

看到这里大家应该懂了吧?


利用机器人做攻击?

我们假设有个黑客叫小明。小明每天花很多时间在找web漏洞,所以小明也发现了一堆的漏洞站。而他也很清楚明白,他必须要掩饰他的行为。


而一个安全人员最普遍的方法都是分析日志。小明也知道这点,所以他现在可能有一个B网站的漏洞,比如SQL注入或者RFI。

于是小明到自己的网站A上面,写下这些EXP,让爬虫来爬……
这种类似场景其实很容易想象吧?

我们已经就这个问题联系谷歌了。对于爬虫,我们不能仅仅只是做白名单,而应该在这前面先对请求做检测!

原文

小编:想起之前那个很牛逼的安全狗“通杀”exp,不正是利用白名单的缺陷?或者已知某站CMS指纹,然后找到把相关版本的EXP来利用机器人绕过这些dns waf或盒子?国内有牛这样测试了吗?

注:本文来自于投稿或网络,且仅用于安全测试、教学,严禁任何非法用途!


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21277161(PV) 页面执行时间:232.009(MS)
  • xml
  • 网站地图