从搜狐入侵铱迅信息网站事件,分析编码漏洞问题

 

从搜狐入侵铱迅事件,分析编码漏洞问题,虽说入侵没有成功,但非常典型的入侵行为,还是值得分析的。

 

1、在入侵中,黑客没有在任何页面做尝试,直指铱迅信息的search的部分,显示出黑客想一针见血的用心。

2、入侵中分为几个步骤,

     第一步,首先用%27来替换'的编码,显示出黑客的老道,因为黑客可能认为铱迅也是做安全的,不会有太低级的注入漏洞,于是直接使用%27来替换’好进行入侵尝试。估计是这步失败,因为从公开的资料来看这步应该被拦截了。

     第二步,在前面失败的基础上,继续尝试%bf%27,打住,这个就是今天的重点,大家有事没事用%bf%27在百度上搜搜,就知道,这是黑站常用的编码,干什么的呢?这是一个二次编码问题,mysql处理GBK编码字符%bf%27导致单引号被绕过的问题。从这里看出,黑客相当老道,但可惜的是仍然被拦截住了,从公开的资料来看,做了4次尝试,最终放弃。

    后面在16点多,还有几次入侵行为,那些基本上应该是属于使用工具扫描的,是前面失败,后面挂了个vpn重新尝试,还是另外的一次入侵尝试行为,这个就不得而知了。

 

原始资料:http://www.yxlink.com/newsview_14.html