SQL注入的網站我有一個客戶是誰的WordPress網站已經得到了通過iframe的騙子黑客攻擊兩次。每次他們已將iframe代碼注入到網站的內容中時。測試WordPress的關於SITEURL
這最後的時光,今天,他們只是改變了wp_options的SITEURL自己的iframe代碼。結果是顯而易見的,似乎只是把事情弄糟依靠
<?php bloginfo(); ?>
腳本的路徑,我不能確定其密碼的妥協(在FTP或WordPress的本身)或SQL注入來改變SITEURL。由於唯一被改變的是siteurl,我正在考慮SQL注入。
你的想法是什麼?任何方式來掃描網站的潛在SQL注入漏洞?
在網站上的唯一活性插件是接觸形式7和谷歌的XML站點地圖。
這是極不可能的SQL注入0天在這次襲擊中使用。 Wordpress是我曾經審覈過的最不安全的PHP項目之一,並且因爲不安全而贏得了pwnie獎。 「WordPress的黑客」是一個完全的玩笑,他們拒絕了我的漏洞報告之一,因爲他們無法掌握這個簡單的缺陷,他們甚至不打擾我的漏洞利用代碼。 (該漏洞被修補。)
使用FTP是一個非常壞主意。您在CLEAR TEXT中通過開放的互聯網傳輸純文本密碼和源代碼,您必須完全瘋狂。使用SFTP !!!!我知道有一種病毒(不記得名字......)通過嗅探網絡流量來尋找FTP密碼,然後登錄並修改它找到的.php和.html文件。在所有使用FTP訪問服務器的計算機上運行防病毒軟件,AVG將刪除此病毒。
我敢打賭,Wordpress或您的插件之一從未更新過。插件中的漏洞通常被用於闖入Web應用程序。檢查所有已安裝的庫/ Web應用程序的所有版本號。
如果要測試SQL注入的網站,請在php.ini中轉入display_errors=On,然後運行Sitewatch free service *或開放源代碼Wapiti。在修補任何漏洞之後,重新運行掃描以確保您的修補程序保持不變。然後運行PhpSecInfo鎖定您的php安裝。確保從報告中刪除所有RED條目。
*我隸屬於本網站/服務。
我認爲這是從用戶的PC竊取FTP密碼的特洛伊木馬。
至於軟件來測試你對SQL注入的應用程序,在這裏有很多的答案對SO已經
+1我同意,從來沒有使用SQL注入的人喜歡說,每次他們的網站被污損時,sql注入是原因。 – rook 2010-04-08 19:50:48
這是託管在網絡解決方案嗎? – Sucuri 2010-04-09 02:08:43
@Sucuri>是的。請告訴你爲什麼問。 – 2010-04-09 15:50:59