sql注入說到底只是一種入侵手段，而除非黑客對網(wǎng)站本身的權限和密碼感興趣，否則就還會有后續(xù)步驟和目的。

    大圣商貿(mào)這里遇到的應該就是后一種。黑客利用這種方式控制訪問該網(wǎng)站的個人電腦或其他終端，然后收集這些終端的數(shù)據(jù)。

    被收集了數(shù)據(jù)的個人電腦和終端將被黑客隱秘的控制，成為一臺“肉雞”。而以后，當黑客想要對某些網(wǎng)站發(fā)動洪水攻擊時，便能方便利用到這些肉雞?；蛘咭部梢栽谄渌糁惺褂萌怆u當跳板。

    讓鐘錦感到奇怪的是，這樣一個小公司的內部網(wǎng)站，究竟有什么注入價值。其獨立訪問量可能一天都不過百，而且大多時候來源是同樣的電腦，所以通過這種注入惡意腳本的方式能控制的電腦實在有限。

    這樣不會很不值得嗎？

    不過她并沒有繼續(xù)想下去。反正齊輝找她來只是為了解決問題，她也就專心于此便好。

    遭到sql注入之后標準的事件響應方式包括三部分：

    一、關閉網(wǎng)站

    二、查看iis日志，查找引起攻擊的漏洞源網(wǎng)頁

    三、增強改進asp頁面，防堵漏洞?！咀?】

    不過這三部是屬于危機響應的方案，亡羊補牢的意味大于解決問題，治標不治本。網(wǎng)站切斷了外部鏈接之后等于關閉，只有內部ip可以連接。然后通過日志查找，鐘錦很快確定了漏洞所在頁面。

    仔細瀏覽了前后臺代碼之后，鐘錦發(fā)現(xiàn)這個漏洞十分明顯，而且修改起來并不困難。

    “注入點我已經(jīng)找到了，看這里，是存儲過程使用執(zhí)行命令的參數(shù)問題。這里參數(shù)不要直接寫入，要用傳參……”

    鐘錦一邊說，一邊迅速改動著文檔，沒幾分鐘就完成修改。刷洗頁面之后，與原來無異。但是通過簡單的驗證之后發(fā)現(xiàn)，頁面已經(jīng)無法進行注入攻擊。

    齊輝畢竟實習這么久，鐘錦做了一步他就看明白了。

    “不過你們網(wǎng)站里類似的漏洞還不少，估計所有的存儲程序都要梳理一遍。”鐘錦提示齊輝，“否則再次打開公共訪問之后，攻擊還會出現(xiàn)。”

    齊輝點頭：“知道怎么修改堵漏洞就行，剩下的我慢慢來吧，正好可以找老板要加班工資?！?br/>
    說完三個人都笑了。

    “我再幫你查一下有沒有其他種類漏洞?！辩婂\說著打開自己的網(wǎng)盤，從里面拖了一個掃描器出來。

    雖然是小公司的內部站，但也并不是簡單的幾個表格幾個頁面組成的。前臺后臺加起來上千個文件，光是基本表格就有幾十張張，而大量的sql存儲過程最可能隱含可注入點。鐘錦要是想全部看完根本不現(xiàn)實，而這種原本用于黑客攻擊的掃描手段卻是此刻最合適的。

    鐘錦所用的掃描器是在國內較為有名的黑客論壇下到的，不過對漏洞和字典的更新則由她自己進行。其實掃描器本身并不重要，關鍵是其中應用到的漏洞。對于大多數(shù)黑客的攻擊來講都是如此。誰掌握了最新的，無人知道的漏洞，誰便能在黑客戰(zhàn)爭中拔得頭籌。這也是為什么0day（沒有補丁的漏洞利用程序）如此重要，人人爭搶。

    掃描的速度很快，返回的注入文件、注入點類型和數(shù)目都一條條清晰顯示在了軟件中。

    根據(jù)結果，鐘錦判斷原本公司外包建立的基礎數(shù)據(jù)庫網(wǎng)站還算過得去，數(shù)據(jù)庫表格的建立和各種調用選擇，與前臺算法和交流都算得上中規(guī)中矩，并且不算特別落伍。也因此可注入點十分少，就算有也都是后來發(fā)現(xiàn)的漏洞，甚至是極少有人知道的注入點。

    然而在大圣公司進行獨立開發(fā)之后，新增加的功能和頁面中則出現(xiàn)了大量的五花八滿的漏洞。有些注入點十分明顯簡單，幾乎是人人皆知。鐘錦實在沒有想到數(shù)據(jù)庫編程發(fā)展到今天，還會有人犯如此低級的錯誤。

    不過這也不難理解，不看漏洞，單看代碼本身，大圣商貿(mào)的內部網(wǎng)站也已經(jīng)成了一場災難。因為經(jīng)手的人太多，而且都是沒經(jīng)驗的在校實習生，于是便產(chǎn)生了大量的冗余文件，并且代碼臃腫，算法毫無簡潔快速可言。鐘錦甚至在一個文件里看到了四重循環(huán)。也就是這網(wǎng)站的數(shù)據(jù)庫還不算特別大，又是內部網(wǎng)站訪問量有限，否則早就卡死了。

    這樣的開發(fā)導致系統(tǒng)脆弱得跟篩子似的，隨處可見破綻。

    鐘錦不是傻子，沒可能給人做白功，從根本上梳理整頓補上所有漏洞。事實上，想要真正的治標，這個網(wǎng)站幾乎可以從新架構了。齊輝也清楚這一點，并且十分贊同，按他的話說，沒道理拿著治標的錢干著治本的活。

    既然如此，鐘錦也就不多事。

    畢竟，她還一分錢沒拿，純粹友情登場呢。

    鐘錦將每一個漏洞都選擇了一份文件進行修補示范，并告訴齊輝文件里的可注入點，以及原理。直到完成這些，她才站起身來。

    “剩下就靠你自己咯！”

    齊輝狂點頭：“大神放心吧！”

    齊輝送鐘錦和賈小蕊離開，路上問起關于ctf比賽的事情。

    “大神，今年你參加不？”他問，“我聽說大軍他們要找人組隊參加呢。”大軍也是他們實驗室的，比兩個人小一屆，今年大二。平時非?；钴S，經(jīng)常參加各種校內校外的計算機或網(wǎng)絡比賽。

    鐘錦道：“不知道呢，他們沒和我說。”

    齊輝慫恿她：“那你問問他們？反正組隊參加，據(jù)說拿到分數(shù)可以加學分呢！”

    賈小蕊道：“真的假的？那我也要！”

    齊輝和她聊得也熟了，知道她大概什么水平，便直接道：“你就是參加也拿不到分，別湊熱鬧了！”

    “哼?！辟Z小蕊也清楚自己斤兩，并不以為忤。雖然沒聽說過這個ctf比賽，但是從他們剛才聊天的內容來看，恐怕不會容易。

    鐘錦笑了笑：“其實想比賽，未必要去玩ctf。這學期不是學校的游戲實驗室要辦游戲大賽嗎？一個周末兩天的時間，組隊或者單人做一款游戲，不限平臺不限方式，最后看誰的游戲最受歡迎，最有創(chuàng)意。”

    賈小蕊想了想：“好像也挺有意思?！?br/>
    “而且你畫畫好，可以和人組隊。畢竟對游戲來講，美工還是挺重要的。”鐘錦道。

    賈小蕊眼睛亮了起來：“鐘錦！陪我玩這個！”

    鐘錦想了想點頭：“行。”

    齊輝也道：“那要不我也跟著摻一腳？”

    三人說著便定下來，由齊輝負責安排報名?，F(xiàn)在開學已經(jīng)三個星期多，距離比賽日期還有一個半月左右，雖然時間有點緊，但是只要游戲創(chuàng)意確定下來，其他準備工作倒也不需要做太多。若是有電子元件或者設備需要采購，從學校去電腦城也并不遠，十分方便。

    鐘錦陪著賈小蕊去到本城鬧市區(qū)的蘋果店。后者早就看中了13寸的macbookair，到那邊沒費什么話大概看了看就直接買下來了。店里的“蘋果天才”教了她最新的系統(tǒng)使用，手勢及界面切換方法等，賈小蕊玩得不亦樂乎。

    電腦買的順利，賈小蕊又提議吃個飯然后去看電影。按照她的話講，周末大好時光不能浪費。鐘錦笑她就這樣還想做黑客，做大牛，賈小蕊憤怒反駁，勵志從明天開始努力。

    等她們回到學校時已經(jīng)是晚上七點多了。

    “齊輝建了個q群組，要拉你進來方便討論比賽的事情?！辩婂\看電腦上齊輝的留言。她和齊輝彼此互加了qq所以已經(jīng)被拉進組里，但是他沒有賈小蕊的qq，只能問鐘錦要。

    賈小蕊道：“行啊，我去加?！?br/>
    說完她又問鐘錦：“你說咱們做個什么游戲好呢？”

    作者有話要說：注1：

    雖然標題是黑客，但是其實網(wǎng)絡，游戲，系統(tǒng)等等都會涉及。。

    千萬別忘了我寫的是近未來科幻oiz

    最后ctf比賽的事情后面會寫到所以這里先不詳細介紹啦，有興趣可以自己查查看，很好玩很牛x的比賽