安全预警

每天都有新的安全威胁产生，每天都有电脑遭受攻击，每天我们都收到很多安全求助信。我们将从这些求助信息中挑选出具有代表性的进行深入的分析和讨论，给出具有通用性质的解决方案。微博求助：http://weib*.c*m/cdx1983。

        你的手机每个月使用多少价位的套餐、有没有加流量包、发了多少条短信、打了多少个电话……这些敏感数据如果落入黑客手中会有什么后果呢？这可不是设想，某知名通信公司四川分站中一个页面存在SQL注入漏洞，利用漏洞黑客就可以成功获取用户的全部手机消费数据！

 技术分析

        白帽子 路人甲：因为一次出差，偶然访问某通信公司四川分站，在网址中看到http://2**.8*.1*.*0:16500/ocs_gz/modules/customer/ocs.jsp，就是在这个网址发现了不对劲的地方，用黑客工具扫描意外发现可以利用SQL注入的方式入侵网站。

        SQL注入攻击指的是黑客通过构建特殊的命令作为参数传入Web程序，而这些命令大都是SQL语法里的一些基本组合。通俗地说，如果Web程序没有过滤黑客输入的恶意命令，就会导致恶意命令入侵系统，从而暴露敏感数据。

    例如管理员的账号、密码都是admin，那么再比如后台的数据库查询语句是

user=request("user")

passwd=request("passwd")

sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&'''

    那么黑客使用'or 'a'='a来做用户名、密码的话，查询就变成了

select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a'

        根据运算规则，不需要知道用户名和密码就可以进到后台了。当然，漏洞利用需要有一个条件，那就是是在后台验证代码上，账号、密码的查询是要同一条查询语句，也就是类似sql="select * from admin where username='"&username&'&"passwd='"&passwd&'这种，如果一旦账号、密码是分开查询的，该方法就失效了，需要用另外的黑客手段来辅助入侵。

    当然，上述过程可以用黑客工具来完成，很快就借助SQL注入工具进入后台，看到了后台数据，利用这些数据可以用来进行电信诈骗，也可以在网站挂马，访问该网站的用户电脑都会遭到网页木马的攻击。

        小贴士：SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致；后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。基于此，SQL注入的产生原因通常表现在以下几方面：①不当的类型处理；②不安全的数据库配置；③不合理的查询集处理；④不当的错误处理；⑤转义字符处理不合适；⑥多个提交处理不当。

就是这个网址存在注入点

读者点评

@伍越天：看了SQL注入过程，网站管理员密码都设置的是7位。

@Beverly：黑客自己在后台就可以知道哪些手机充值费高，不是可以定点进行入侵吗？想想就不寒而栗！