上一篇
下一篇
文章来自: 
引用通告: 
Tags: 
回复
特洛伊剑客[2010-03-29 02:23 PM | 
]我感觉这可能是误会!还记得搜狐公司推出的那款“搜狗浏览器”吗?它内置搜狐提供的代理,可能是攻击者使用搜狗浏览器开启了搜狐提供的代理对你们的网站实施渗透,所以留下了搜狐的IP地址!
前段时间mars不还在T搜狐的服务器....
前段时间我用铱迅防火墙也拦截到了来自搜狐公司的入侵……
不像吧,个人觉得,如果针对型攻击的话,VPN还是会挂的
可能是搜狐某位行内人,也可能不是。浏览的时候,顺手成习惯了,测试了一下。用经典的代码测试一下。如果针对型攻击,我想他肯定工具跑,加上手工找点啥的。跳板还是会开的,爷您觉着呢?
可能是搜狐某位行内人,也可能不是。浏览的时候,顺手成习惯了,测试了一下。用经典的代码测试一下。如果针对型攻击,我想他肯定工具跑,加上手工找点啥的。跳板还是会开的,爷您觉着呢?
从搜狐入侵铱迅事件,分析编码漏洞问题,虽说入侵没有成功,但非常典型的入侵行为,还是值得分析的。
1、在入侵中,黑客没有在任何页面做尝试,直指铱迅信息的search的部分,显示出黑客想一针见血的用心。
2、入侵中分为几个步骤,
第一步,首先用%27来替换'的编码,显示出黑客的老道,因为黑客可能认为铱迅也是做安全的,不会有太低级的注入漏洞,于是直接使用%27来替换’好进行入侵尝试。估计是这步失败,因为从公开的资料来看这步应该被拦截了。
第二步,在前面失败的基础上,继续尝试%bf%27,打住,这个就是今天的重点,大家有事没事用%bf%27在百度上搜搜,就知道,这是黑站常用的编码,干什么的呢?这是一个二次编码问题,mysql处理GBK编码字符%bf%27导致单引号被绕过的问题。从这里看出,黑客相当老道,但可惜的是仍然被拦截住了,从公开的资料来看,做了4次尝试,最终放弃。
后面在16点多,还有几次入侵行为,那些基本上应该是属于使用工具扫描的,是前面失败,后面挂了个vpn重新尝试,还是另外的一次入侵尝试行为,这个就不得而知了。
1、在入侵中,黑客没有在任何页面做尝试,直指铱迅信息的search的部分,显示出黑客想一针见血的用心。
2、入侵中分为几个步骤,
第一步,首先用%27来替换'的编码,显示出黑客的老道,因为黑客可能认为铱迅也是做安全的,不会有太低级的注入漏洞,于是直接使用%27来替换’好进行入侵尝试。估计是这步失败,因为从公开的资料来看这步应该被拦截了。
第二步,在前面失败的基础上,继续尝试%bf%27,打住,这个就是今天的重点,大家有事没事用%bf%27在百度上搜搜,就知道,这是黑站常用的编码,干什么的呢?这是一个二次编码问题,mysql处理GBK编码字符%bf%27导致单引号被绕过的问题。从这里看出,黑客相当老道,但可惜的是仍然被拦截住了,从公开的资料来看,做了4次尝试,最终放弃。
后面在16点多,还有几次入侵行为,那些基本上应该是属于使用工具扫描的,是前面失败,后面挂了个vpn重新尝试,还是另外的一次入侵尝试行为,这个就不得而知了。
搞不好sohu是人家的VPN吧! 
发表评论
