SQL注入(SQLi)利用不安全 Web App 和數(shù)據(jù)庫驅(qū)動的類似軟件，抽取或篡改數(shù)據(jù)(如用戶賬戶記錄)，甚至在服務(wù)器上執(zhí)行Shell指令。

[[197254]]

這是合法用戶和攻擊者提交的代碼，沒有經(jīng)過驗證和清晰所導(dǎo)致的結(jié)果。被攻擊軟件或許期待的是一個訂單號，而黑客發(fā)過去的卻是一條SQL語句，而這惡意代碼片段被包含到接下來的數(shù)據(jù)庫查詢中，讓服務(wù)器按黑客的指令吐出敏感數(shù)據(jù)或執(zhí)行他/她期待的動作。

據(jù)所掌握的信息可知，用戶可租用喀秋莎掃描器專業(yè)版(Katyusha Scanner Pro)每月200美元租金;或者在自己的系統(tǒng)上安裝一個，500美元。該軟件使用免費(fèi)滲透測試工具Anarchi掃描器對網(wǎng)站執(zhí)行SQLi攻擊。最重要的是，它能通過Telegram即時消息系統(tǒng)進(jìn)行控制。

所以，基本上，用戶可以在聯(lián)網(wǎng)服務(wù)器上執(zhí)行喀秋莎——無論是租用還是自己安裝，然后用Telegram發(fā)送指令——比如攻擊somepoorbastard.biz或mydietpillsnotascam.org之類的網(wǎng)站，直到命中一個有漏洞的網(wǎng)站。如果有專業(yè)版，還可以自動抽取登錄憑證和內(nèi)部數(shù)據(jù)庫內(nèi)容。輕量級版本也可用——只要你覺得自己可以利用任何已知漏洞。

這基本上意味著，沒有技術(shù)背景的罪犯，也能很容易地用手機(jī)對無數(shù)公司企業(yè)發(fā)起攻擊。如上所述，可通過Web門戶控制，也可以通過Telegram文字消息控制。威脅情報公司 Recorded Future 的研究人員，是在暗網(wǎng)最封閉的隱藏黑客論壇上發(fā)現(xiàn)該軟件包的售賣的。

Recorded Future 在博客中解釋稱：“在黑客過程可通過標(biāo)準(zhǔn)Web接口控制的同時，喀秋莎掃描器的獨(dú)特功能，還能讓罪犯上傳目標(biāo)網(wǎng)站列表，對多個目標(biāo)發(fā)起同步攻擊，通過Telegram并行無縫地進(jìn)行控制。”

該技術(shù)受到了腳本小子的一致好評，其專業(yè)的客戶支持也收到了極高贊譽(yù)。當(dāng)然，經(jīng)驗老道的網(wǎng)絡(luò)罪犯，也可以在他們的智能手機(jī)或平板上用SSH隧道做到這些;但喀秋莎實在是太易用了——令人擔(dān)憂的地方正在于此。

攻擊演示：某人通過telegram控制喀秋莎

掃描完成后，喀秋莎會對每個發(fā)現(xiàn)的目標(biāo)顯示Alexa網(wǎng)站評級，提供所發(fā)現(xiàn)Web安全漏洞的潛在重要性與利用可能性指南。

喀秋莎掃描器這種高度健壯又不貴的在線工具，降低了網(wǎng)絡(luò)攻擊的技術(shù)門檻，只會進(jìn)一步惡化各公司遭受的數(shù)據(jù)泄露問題，凸顯出定期基礎(chǔ)設(shè)施安全審計的重要性。

信息安全廠商 Positive Technologies 的一份調(diào)查研究顯示，2017年第一季度流傳最廣的攻擊形式就是SQLi和跨站腳本攻擊，各占被檢測攻擊總數(shù)的1/3。該報告將政府機(jī)構(gòu)的Web應(yīng)用列為了黑客首要攻擊目標(biāo)，其后是IT公司和金融機(jī)構(gòu)，教育機(jī)構(gòu)排在第四位。

注：喀秋莎這個工具名，映射的是蘇聯(lián)在二戰(zhàn)期間研發(fā)的一款標(biāo)志性多管火箭發(fā)射器，以其隱秘性和破壞性成為了納粹軍隊的噩夢。