利用Web应用程序

在接下来的几天里，我们将陆续撰写关于BlueHat会议的讨论……今天，我很高兴有机会向大家详细介绍Caleb Sima（SPI Dynamics的首席技术官兼联合创始人）于3月9日在BlueHat 3会议上所做的“利用Web应用程序”演示。（点击此处收听对Caleb的播客采访。）

假设您已经安装了所有最新的补丁，没有人打开任何恶意附件，所有正确的端口都已关闭，防火墙、防病毒软件和入侵检测系统（IDS）都在运行且保持最新状态——但您仍然被黑客入侵了。这是怎么发生的？

本次演示带领观众亲历了一次对银行的实际渗透测试，并向我们的工程师展示了黑客攻击是如何发生的。说实话，这次演讲对我们BlueHat来说有些不同寻常——它不是专门关于Microsoft产品中的漏洞的；事实上，Caleb演示的技术甚至不是基于Microsoft技术的。但看到恶意黑客如何使用SQL注入和盲SQL注入等技术，无论您使用哪家供应商的软件，都能提取整个数据库，这确实很酷。您并不是每天都有机会窥探恶意黑客如何通过Web应用程序找到漏洞来访问数据，以及如何更好地保护这些数据。

Caleb是一位非常吸引人的演讲者，他分享的关于Web应用程序黑客用来接近目标的方法论既有教育意义又富有趣味性。他不仅演示了这些技术的基本前提以及如何手动执行它们，还展示了如何通过工具轻松实现自动化——黑客可以去吃晚餐，然后回来查看一份漂亮的结果报告。但不仅漏洞利用是自动化的，寻找攻击目标的研究也可以自动化！在演示的下一部分，Caleb展示了黑客如何使用常见搜索引擎在几分钟内识别出数万个易受攻击的目标（甚至可以将这些目标搜索范围缩小到最有趣的域名）。

所有数据都是有价值的；您的Web应用程序被入侵的风险不仅仅是信用卡欺诈或客户身份盗窃。还有现实生活中的例子，一家企业通过访问客户列表、定价计划和设计示意图来击败竞争对手，从而获得优势。

那么，如何保护您的数据？仅仅限制错误消息中的信息量，以免给黑客提供进入数据库的路线图，这是不够的——这并不能保护您免受盲SQL注入攻击。大多数Web应用程序攻击可以通过输入验证来解决！**

不幸的是，在Caleb有机会进入最后一部分之前，时间已经用完了——这是他正在进行的关于黑客如何操纵搜索引擎结果以提升其网站排名的早期研究。观众（近700名工程师）明显感到失望，因此Caleb提出在当天会议结束时再额外进行20分钟的演示，以涵盖这一主题。在整整一天的会议结束后，所有观众都留下来观看了这一额外内容。

我必须花点时间感谢Caleb的幽默感——在没有提前通知他的情况下，我安排在他BlueHat演示前几小时的午餐时间向观众播放了《The Code Room – Breaking Into Vegas》。这是一段关于赌场通过其Web应用程序被黑客入侵的教育性和娱乐性30分钟视频，因此它是周四BlueHat议程（专注于数据库和Web应用程序安全）的完美补充。我为什么要提前通知Caleb？您在imdb上找不到它，但Caleb是视频中的演员之一，还有其他几位安全领域的知名人士，如John Viega、Joel Scambray和Frank Swiderski。谢谢大家。J

~Kymberlee

下一篇博客评论即将发布……David Litchfield的《当前数据库漏洞研究》。