雅虎貢獻者網站(http://contributor.yahoo.com/)最近再次曝出存在SQL注入漏洞。漏洞于幾個月之前被提交，雅虎修復之后便以知名度下降為理由關閉了貢獻者網站。

漏洞發現過程

漏洞是由安全研究員Behrouz Sadeghipour發現的。通過盲注，Behrouz發現了雅虎貢獻者網站存在一個SQL漏洞，該漏洞可能會使黑客利用來竊取用戶和作者的個人信息。

接到Behrouz的報告之后，雅虎積極響應，不到一個月的時間便對該漏洞進行了修復，但是修復之后，雅虎不久便關閉了該網站，雅虎給出的理由是“網站的知名度不斷下降”，然后便刪除了網站上的內容，只保留了部分用戶的“租用空間內容”。(截止到發稿前，該網址已經不可解析，會直接跳轉到雅虎主站)

一些關鍵的漏洞是會暴漏網站的重要且敏感的信息的，這個我們大家都知道。一個較為嚴重的SQL漏洞極有可能將整個數據庫的信息全部暴漏出來甚至有可能導致數據庫被拖的嚴重后果。而本次漏洞出現在以下兩個鏈接之中：

http://contributor.yahoo.com/forum/search/?

http://contributor.yahoo.com//library/payments/data-table/?

漏洞允許黑客在url中注入SQL命令，從而輕易獲取到數據庫中的信息。

2012年，雅虎貢獻者網站曾被一伙名為“D33DS Company”的黑客攻擊，導致453,491條email用戶名和密碼泄露。據了解，那次的攻擊黑客所使用的就是SQL注入攻擊。

SQL注入以及其影響

SQL Injection (SQLi)攻擊已經出現了十多年了。其主要是通過從URL中尋找過濾不嚴的注入點從而通過該注入點直接寫入SQL命令，使得服務器直接執行這些被精心、惡意構造的查詢代碼，一旦出現，直接相當于數據庫赤裸裸的躺在黑客面前無任何秘密可言。

關于SQL攻擊的案例看這里：http://search.aol.com/aol/search?q=site%3Afreebuf.com+sql

SQL攻擊利器sqlmap簡介戳這里：http://www.freebuf.com/articles/web/29942.html

根據安全公司Veracode于2014年的安全軟件報告聲明，SQL注入仍舊是不可忽視的嚴重問題。仍然以32%的攻擊比率持續威脅著互聯網的Web安全。

“目前，我們正在看到每天有超過50,000次的攻擊嘗試落入我們的監測之中，這些攻擊請求中的大多數都是自動完成的，而且大都是針對于一些應用較為廣泛的CMS和其他的網絡項目(Joomla, WordPress, vBulletin等)。”

Sucuri公司的安全研究員David Dede在其blog中這樣寫道。

SQL注入還將持續增長

安全公司的分析表明，隨著時間的推移，SQL注入的嘗試次數不僅不會減少，反而會不斷增長。

研究人員補充說道：

“如果我們深入分析這些數據，并將攻擊按照地理位置進行分類標注，我們很清晰的看到，這些攻擊無處不在。很多人認為，俄羅斯，巴西，羅馬尼亞等少數國家是網絡攻擊的來源，但是對于SQL注入攻擊來說，美國，印度，印度尼西亞，和中國才是攻擊的源頭。”

SQL注入是一種真正具有威脅的攻擊方式，世界各地的黑客每天樂此不疲地進行著SQL注入。

“如果你是一個開發者，你應該充分利用OWASP的關于SQL注入的信息并盡最大的努力阻止SQL注入。”

參考來源：http://thehackernews.com/2014/10/sql-injection-vulnerability-in-yahoo.html