海外安详公司发明白来自Google呆板人的SQL注入进攻,迫使他们应急的时候配置计策对Google的IP举办屏蔽。
有件工作我们需要寄望的是,险些所有的云防火墙的法则城市对搜索引擎呆板人配置白名单。
今朝来说我们的糊口照旧很幸福的,但当你发明一个正当的搜索引擎呆板人被用来进攻你的网站,你还睡得巩固吗?
这是几天前我们一个客户的网站所产生的实实在在的案例,,我们开始对Google呆板人的IP举办屏蔽,按照抓到的请求可以判定它做的是SQL注入进攻。你没听错,对!Google呆板人在对你们做SQL注入!
请求
我们的发明始于Google呆板人的IP地点被SQL注入防护计策屏蔽,列位看官看以下日志(打了点码):
66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")[email protected]%
20varchar(8000([email protected]%20=%200x527%20exec(@q)%20-- HTTP/1.1" 403 4439 "-"
"Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
我们的第一回响是以为这是个伪造的呆板人,但当我们查抄IP地点来历是却发明这是实实在在的google呆板人!
$ host 66.249.66.138
138.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-138.googlebot.com.
NetRange: 66.249.64.0 - 66.249.95.255
CIDR: 66.249.64.0/19
OriginAS:
NetName: GOOGLE
进一法式查显示其它相似的请求签名都是来自于Google的IP地点。
到底咋回事?
其实Google并不是真有乐趣要黑我们,它是真的爱我们。
场景是这样的:
Google呆板人正在网站A收集信息,网站A内嵌入了对方针网站B的SQL注入请求链接,Google呆板人顺着链接会见网站B,就无意中开始对网站B执行了SQL注入进攻。
看到这里各人应该懂了吧?
操作呆板人做进攻?
我们假设有个黑客叫小明。小来日诰日天花许多时间在找web裂痕,所以小明也发明白一堆的裂痕站。而他也很清楚大白,他必需要掩饰他的行为。
而一个安详人员最普遍的要领都是阐嫡志。小明也知道这点,所以他此刻大概有一个B网站的裂痕,好比SQL注入可能RFI。
于是小明到本身的网站A上面,写下这些EXP,让爬虫来爬……
这种雷同场景其实很容易想象吧?
我们已经就这个问题接洽谷歌了。对付爬虫,我们不能仅仅只是做白名单,而应该在这前面先对请求做检测!