|
|
|
联系客服020-83701501

利用搜索引擎蜘蛛绕过waf进行攻击

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
把持搜寻引擎蜘蛛绕过waf终了抨击打击

咱们在写网站防火墙划定的时候大约城市做一件事:永远不屏蔽那些干流搜寻引擎呆板人的爬取(如,Google,Bing,Yahoo,Baidu等).

google-Bot

至今,咱们感受这样很好,然则面前目今现今咱们时络续地碰着一些怪异的现象,不得不让咱们思考一个题目,假设一个合法的搜寻引擎呆板人被用来抨击打击网站那会怎么?难道咱们仍然让这样的抨击打击畅通无阻而不去屏蔽他?

这类情况几天前的确在咱们的一个网站上发作了,咱们要劈头初步屏蔽Google的ip地点,因为google蜘蛛爬网站时发送的苦求的确存在SQLi抨击打击.你没看错,google蜘蛛的确正在抨击打击网站.

发送的苦求

悉数入手下手于咱们创造一个真实的Google ip地点因为SQL注入被屏蔽了.这是日记记录的(为了维护无辜的受害者做了一点点改变)

Default
12 66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")%20declare%20@q%20varchar(8000(%20select%20@q%20=%200x527%20exec(@q)%20-- HTTP/1.1" 403 4439 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

咱们一劈头初步以为它是一个假的Google bot,然则检察ip后创造这个ip真的是Google的:

oo

进一程序查创造另有很多其它雷同的苦求ip都来自Google.

究竟发作了甚么?

按理来讲Google应该没有意见意义hack咱们我们的网站啊,他们的被动化呆板人应该是被抨击打击者把持了.

在上面阿谁场景中,呆板人正在爬取网站A.网站A有很多暗藏的链接或是发送SQLi苦求到指标网站B.Google呆板人爬取页面的时候看到了这几个连贯,此后就会顺着这个链接爬过去,这样的话,Google呆板人就偶然地抨击打击了网站B.这个到底大约咱们都没十分留神到,然则的确是一个应该深思的题目.

是否或是建立很多歹意链接,此后让呆板人拜访这些连贯,此后就能够对其它网站终了一次抨击打击呢?

把持呆板人机要抨击打击

让咱们假设一下,有一个抨击打击者叫John.John每天的事即是爬取页面,此后创造新的裂缝.很久以后,他创造了很多网站都有裂缝,是时候该一次性把这些网站都收了.然则John不是通常的黑客,他极其体会算计机取证进程,深知一个溃烂的hacker必须是不克不及留下任何异景.

算计机取证中,咱们会检查日记.John诚然晓得这个.然则假设John假设做得欠缺卖力,卖力到

自己没有被创造呢?John面前目今现今有一个裂缝列表,其中就有一个是B网站上的SQLi或是或许RFI.John打开自己的网站A,添加了一些看起来不错的内容,然则他还默默地添加了几个链接,这几个链接对普通拜访网站的人是看不到的,然则却极其排汇爬虫来爬取.这些链接全都或是带动RFI和SQLi抨击打击.把持阅读器,这样John就或是实现更高效的抨击打击,还不让人创造.

大概这是一个意料,或是也不是..有甚么设法主意么?

咱们会就这件事分割Google,然则咱们必须记着的是,不克不及仅仅把他们的IP放到白名单里,而让其任何的窥视都畅通无阻.

[via@sucuri]

日币惩办:

本文为译文,首发91ri.org,按照本站积分划定赐与日币惩办共4枚。团队目前正在招募新同砚,有意见意义退出团队的同砚或是检查“退出咱们”。

数安新闻+更多

证书相关+更多