近期3波强力SQL注入攻击100万中国网站

  近日消息:根据安全研究人员,目前有3个很严重的SQL注入攻击正在被一些人控制着。约有80000个中国网站,67000个美国网站和40000个印度网站受到了影响,并且被一些僵尸控制着,导致他们受到了一些单独并且持续的SQL注入攻击。在过去的3个月中,在中国受影响的网站甚至达到100万个。

  SQL注入攻击向合法网站中插入了恶意的e,以便强迫网上冲浪者下载恶意软件。ScanSafe高级研究人员MaryLandesman表示,她认为这3波很强的SQL注入攻击有可能是同一攻击者发起的,因为域名注册信息相似,攻击方式也类同。Landesman说:这种攻击利用了域名。其中的7个恶意的域名的注册者是同样的名字和地址(这些信息显然不是真实的,几乎就是在胡言乱语)。

  这些域名现已被散布到了全球很多国家,其中就包括中国、美国和印度。在这种情况下,经过核实的域名使用的是虚假的信息,如GoDaddy,Landesman认为这很非同寻常,因为GoDaddy给人的印象很好,并且攻击者往往喜欢视而不见的域名提供者。Go Daddy并没有对比立刻做出回应。但是更重要的问题并不是针对每个域名注册者,问题在于域名注册系统的方式使这些滥用域名的做法日益猖獗。Landesman说:11545.html">我们有个系统专门让人们提供完全虚假的资料,例如他们是谁。

  她说,域名注册系统的开放和缺乏有效的监督让犯罪分子利用域名来实施基于互联网的攻击。这种问题已经被犯罪分子利用得渐入佳境。现在域名注册系统已经遭到了破坏,修复这一系统是减少这类攻击的关键做法,她说。

时间: 2024-09-20 12:09:29

近期3波强力SQL注入攻击100万中国网站的相关文章

SQL注入攻击-来自微软安全博客的建议

本文翻译自微软博客上刊载的相关文章,英文原文版权归原作者所有,特此声明.原文:http://blogs.technet.com/swi/archive/2008/05/29/sql-injection-attack.aspx近期趋势 从去年下半年开始,很多网站被损害,他们在用于生成动态网页的SQL数据库中存储的文本中被注入了恶意的HTML <script>标签.这样的攻击在2008年第一季度开始加速传播,并且持续影响有漏洞的Web程序.这些Web应用程序有这样一些共同点: 使用经典ASP代码的

php安全编程—sql注入攻击

原文:php安全编程-sql注入攻击 php安全编程--sql注入攻击 定义 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统. 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入.前者由不安全的数据库配置或数据库平台的漏洞所致:后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询.基于此,SQL注入的产生

浅谈开启magic_quote_gpc后的sql注入攻击与防范_Mysql

通过启用php.ini配置文件中的相关选项,就可以将大部分想利用SQL注入漏洞的骇客拒绝于门外. 开启magic_quote_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能.在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中,就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET.POST.COOKIE方式传递的变量自动转换,换句话说,输入的注入攻击代码将会全部被转换,将给攻击者带来非常大的困难.

SQL注入攻击:防御和检查SQL注入的手段

虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施.知彼知己,方可取胜.首先要清楚SQL注入攻击有哪些种类. 观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的.虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施. SQL注入攻击的种类 知彼知己,方可取胜.首先要清楚SQL注入攻击有哪些种类. 1.没有正确过滤转义字符 在用户的输入没有为转义字符过滤

入门:防范SQL注入攻击的新办法

近段时间由于修改一个ASP程序(有SQL注入漏洞),在网上找了很多相关的一些防范办法,都不近人意,所以我将现在网上的一些方法综合改良了一下,写出这个ASP函数,供大家参考. 以下是引用片段: Function SafeRequest(ParaName)  Dim ParaValue  ParaValue=Request(ParaName) if IsNumeric(ParaValue) = True then SafeRequest=ParaValue exit Function elseIf

防范SQL注入攻击的新办法

攻击 近段时间由于修改一个ASP程序(有SQL注入漏洞),在网上找了很多相关的一些防范办法,都不近人意,所以我将现在网上的一些方法综合改良了一下,写出这个ASP函数,供大家参考. Function SafeRequest(ParaName) Dim ParaValue ParaValue=Request(ParaName)if IsNumeric(ParaValue) = True thenSafeRequest=ParaValueexit FunctionelseIf Instr(LCase(

动态网页新手入门:防范SQL注入攻击的新办法

sql|动态|攻击|网页 近段时间由于修改一个ASP程序(有SQL注入漏洞),在网上找了很多相关的一些防范办法,都不近人意,所以我将现在网上的一些方法综合改良了一下,写出这个ASP函数,供大家参考. Function SafeRequest(ParaName)  Dim ParaValue  ParaValue=Request(ParaName) if IsNumeric(ParaValue) = True then SafeRequest=ParaValue exit Function els

防范SQL注入攻击的代码

攻击 SQL注入式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击,动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因.比如: 如果你的查询语句是select * from admin where username='"&user&"' and password='"&pwd&"'" 那么,如果我的用户名是:1' or '1'='1 那么,你的查询语句将会变成:

PHP+SQL 注入攻击的技术实现以及预防办法

1. php 配置文件 php.ini 中的 magic_quotes_gpc 选项没有打开,被置为 off 2. 开发者没有对数据类型进行检查和转义 不过事实上,第二点最为重要.我认为, 对用户输入的数据类型进行检查,向 MYSQL 提交正确的数据类型,这应该是一个 web 程序员最最基本的素质.但现实中,常常有许多小白式的 Web 开发者忘了这点, 从而导致后门大开. 为什么说第二点最为重要?因为如果没有第二点的保证,magic_quotes_gpc 选项,不论为 on,还是为 off,都有