老外安全公司发现了来自Google机器人的SQL注入攻击,迫使他们应急的时候设置策略对Google的IP进行屏蔽。

有件事情我们需要留意的是,几乎所有的云防火墙的规则都会对搜索引擎机器人设置白名单。

目前来说我们的生活还是很幸福的,但当你发现一个合法的搜索引擎机器人被用来攻击你的网站,你还睡得安稳吗?

这是几天前我们一个客户的网站所发生的实实在在的案例,我们开始对Google机器人的IP进行屏蔽,根据抓到的请求可以判断它做的是SQL注入攻击。你没听错,对!Google机器人在对你们做SQL注入!

请求

我们的发现始于Google机器人的IP地址被SQL注入防护策略屏蔽,各位看官看以下日志(打了点码):

66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")%20declare%20@q%
20varchar(8000(%20select%20@q%20=%200x527%20exec(@q)%20-- HTTP/1.1" 403 4439 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

我们的第一反应是觉得这是个伪造的机器人,但当我们检查IP地址来源是却发现这是实实在在的google机器人!

$ host 66.249.66.138
138.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-138.googlebot.com.NetRange:       66.249.64.0 - 66.249.95.255
CIDR:           66.249.64.0/19
OriginAS:
NetName:        GOOGLE

进一步调查显示其它相似的请求签名都是来自于Google的IP地址。

到底咋回事?

其实Google并不是真有兴趣要黑我们,它是真的爱我们。

场景是这样的:

Google机器人正在网站A收集信息,网站A内嵌入了对目标网站B的SQL注入请求链接,Google机器人顺着链接访问网站B,就无意中开始对网站B执行了SQL注入攻击。

看到这里大家应该懂了吧?

利用机器人做攻击?

我们假设有个黑客叫小明。小明每天花很多时间在找web漏洞,所以小明也发现了一堆的漏洞站。而他也很清楚明白,他必须要掩饰他的行为。

而一个安全人员最普遍的方法都是分析日志。小明也知道这点,所以他现在可能有一个B网站的漏洞,比如SQL注入或者RFI。

于是小明到自己的网站A上面,写下这些EXP,让爬虫来爬……
这种类似场景其实很容易想象吧?

我们已经就这个问题联系谷歌了。对于爬虫,我们不能仅仅只是做白名单,而应该在这前面先对请求做检测!

原文

小编:想起之前那个很牛逼的安全狗“通杀”exp,不正是利用白名单的缺陷?或者已知某站CMS指纹,然后找到把相关版本的EXP来利用机器人绕过这些dns waf或盒子?国内有牛这样搞过了吗?

如文中未特别声明转载请注明出自:FreebuF.COM

如何利用Google机器人进行SQL攻击相关推荐

  1. Google机器人眼里的百度

    今天利用google的网站管理员工具,怀着好奇的心理把国内几个比较大的网站都当成自己的给加了进来,看了一下,竟然发现百度被歧视了,:). 大家都知道,google是根据pr值来评估其他网站的好坏,从而 ...

  2. 基于约束的SQL攻击

    基于约束的SQL攻击原理: 没有将字段设置为唯一字段,导致可以利用mysql会略去空格(前提:空格后面没有字符)这一特性,查询或插入敏感信息 先创建一个user表,定义三个字段(id.username ...

  3. SSH协议弱加密算法漏洞的利用及复现(中间人攻击)

    SSH协议弱加密算法漏洞的利用及复现(中间人攻击) SSH协议弱加密算法漏洞的利用及复现(中间人攻击) 很多服务器或者交换机是存在SSH协议弱加密算法漏洞的,但是该漏洞如何利用呢?最近研究了下此漏洞的 ...

  4. 教程:如何利用Google AIY做一个自动撵猫神器?

    有人说,"当代人的最新炫富模式是--你有猫吗?"的确,喵星人的治愈系数在某些程度上,甚至已经盖过了美食.人类在这个"弱小"的萌物面前,也心甘情愿地俯首称臣. 国 ...

  5. 【zz】免费的午餐——编程利用Google日历API发短信、Email

    免费的午餐--编程利用Google日历API发短信.Email Google日历是相当优秀的日程管理工具,可以方便的组织.分享各类日程,Google还提供了贴心而免费的手机短信.Email提示功能,真 ...

  6. python 根据地址求经纬度 谷歌_利用google的API获取世界城市经纬度(python实现)

    google API 需要 --. #-*- coding: utf8 -*- from xml.dom import minidom import urllib2, urllib #这个KEY本来是 ...

  7. CVPR2020 | 利用NAS搜索针对对抗攻击的鲁棒神经网络结构

    本文介绍CVPR 2020 论文 When NAS Meets Robustness: In Search of Robust Architectures against Adversarial At ...

  8. linux shell ddos木马,利用Shell 脚本解决DDOS攻击问题

    思路:主要利用 awk ,if结构,sort,uniq #!/bin/bash FilePath="access.log" awk '{print $1}' $FilePath | ...

  9. 利用 sys.sysprocesses 检查 Sql Server的阻塞和死锁

    Sys.SysProcesses 系统表是一个很重要的系统视图,主要用来定位与解决Sql Server的阻塞和死锁. MSDN:包含正在 SQL Server 实例上运行的进程的相关信息.这些进程可以 ...

最新文章

  1. Ext.data-Store
  2. docker-runc not installed on system 问题
  3. hdu3006 状态压缩+位运算+hash(小想法题)
  4. mysql 5.5 不认识 datetime(0) 类型
  5. GDI绘图基本步骤总结(经典)
  6. Tomcat版本与Servlet、JSP等版本的支持关系
  7. linux红黑树节点没有数据,真正理解红黑树,真正的(Linux内核里大量用到的数据 -电脑资料...
  8. NodeJs取参的四种方法
  9. python运行方法_对python中执行DOS命令的3种方法总结
  10. php单元格字体颜色,PHPExcel API接口用法大全,按模板导入excel,美化excel,导出图片,设置单元格字体颜色背景色边框,合并单元格,设置行高列宽...
  11. 递归法:杨辉三角,计算第m层的第n个系数
  12. DoIP协议一致性测试
  13. Eureka服务治理
  14. 二层协议--LACP协议总结
  15. 《当程序员的那些狗日日子》三
  16. 百度开源地图服务器搭建
  17. 浅谈数字后端工程师的工作
  18. 编译原理:已知文法G(S):S- MH a,H-LSo, K-dML, L-eHf ...,构造LL(1)分析表
  19. Python读取excel文件和绘画饼图
  20. STC15F2K60S2内E2PROM应用

热门文章

  1. leetcode刷题:292. Nim 游戏(Java)
  2. 护卫神安装mysql_护卫神·MySQL密码修改工具
  3. KDD2020|PinnerSage:Pinterest推荐中的多模式用户嵌入框架
  4. B站粉丝数显示器代码解析学习
  5. 门控循环单元(Gate Recurrent Unit,GRU)
  6. excel无法做图,是因为数据格式的原因
  7. air报错 Context3D not available. fd as3项目默认不开启gpu加速的问题
  8. 以下c语言程序片段用于估测cpu的cache参数,阿里巴巴笔试题
  9. python制作gif动画_使用Python代码制作GIF动态图
  10. vue使用el-tabs实现标签页(内存+vuex)