雅虎貢獻者網站(http://contributor.yahoo.com/)最近再次曝出存在SQL注入漏洞。漏洞于幾個月之前被提交，雅虎修復之后便以知名度下降為理由關閉了貢獻者網站。

漏洞發(fā)現(xiàn)過程

漏洞是由安全研究員Behrouz Sadeghipour發(fā)現(xiàn)的。通過盲注，Behrouz發(fā)現(xiàn)了雅虎貢獻者網站存在一個SQL漏洞，該漏洞可能會使黑客利用來竊取用戶和作者的個人信息。

接到Behrouz的報告之后，雅虎積極響應，不到一個月的時間便對該漏洞進行了修復，但是修復之后，雅虎不久便關閉了該網站，雅虎給出的理由是“網站的知名度不斷下降”，然后便刪除了網站上的內容，只保留了部分用戶的“租用空間內容”。(截止到發(fā)稿前，該網址已經不可解析，會直接跳轉到雅虎主站)

一些關鍵的漏洞是會暴漏網站的重要且敏感的信息的，這個我們大家都知道。一個較為嚴重的SQL漏洞極有可能將整個數(shù)據庫的信息全部暴漏出來甚至有可能導致數(shù)據庫被拖的嚴重后果。而本次漏洞出現(xiàn)在以下兩個鏈接之中：

http://contributor.yahoo.com/forum/search/?

http://contributor.yahoo.com//library/payments/data-table/?

漏洞允許黑客在url中注入SQL命令，從而輕易獲取到數(shù)據庫中的信息。

2012年，雅虎貢獻者網站曾被一伙名為“D33DS Company”的黑客攻擊，導致453,491條email用戶名和密碼泄露。據了解，那次的攻擊黑客所使用的就是SQL注入攻擊。

SQL注入以及其影響

SQL Injection (SQLi)攻擊已經出現(xiàn)了十多年了。其主要是通過從URL中尋找過濾不嚴的注入點從而通過該注入點直接寫入SQL命令，使得服務器直接執(zhí)行這些被精心、惡意構造的查詢代碼，一旦出現(xiàn)，直接相當于數(shù)據庫赤裸裸的躺在黑客面前無任何秘密可言。

關于SQL攻擊的案例看這里：http://search.aol.com/aol/search?q=site%3Afreebuf.com+sql

SQL攻擊利器sqlmap簡介戳這里：http://www.freebuf.com/articles/web/29942.html

根據安全公司Veracode于2014年的安全軟件報告聲明，SQL注入仍舊是不可忽視的嚴重問題。仍然以32%的攻擊比率持續(xù)威脅著互聯(lián)網的Web安全。

“目前，我們正在看到每天有超過50,000次的攻擊嘗試落入我們的監(jiān)測之中，這些攻擊請求中的大多數(shù)都是自動完成的，而且大都是針對于一些應用較為廣泛的CMS和其他的網絡項目(Joomla, WordPress, vBulletin等)。”

Sucuri公司的安全研究員David Dede在其blog中這樣寫道。

SQL注入還將持續(xù)增長

安全公司的分析表明，隨著時間的推移，SQL注入的嘗試次數(shù)不僅不會減少，反而會不斷增長。

研究人員補充說道：

“如果我們深入分析這些數(shù)據，并將攻擊按照地理位置進行分類標注，我們很清晰的看到，這些攻擊無處不在。很多人認為，俄羅斯，巴西，羅馬尼亞等少數(shù)國家是網絡攻擊的來源，但是對于SQL注入攻擊來說，美國，印度，印度尼西亞，和中國才是攻擊的源頭。”

SQL注入是一種真正具有威脅的攻擊方式，世界各地的黑客每天樂此不疲地進行著SQL注入。

“如果你是一個開發(fā)者，你應該充分利用OWASP的關于SQL注入的信息并盡最大的努力阻止SQL注入。”

參考來源：http://thehackernews.com/2014/10/sql-injection-vulnerability-in-yahoo.html