6兩個比賽

sql注入說到底只是一種入侵手段，而除非黑客對網站本身的權限和密碼感興趣，否則就還會有後續步驟和目的。

大聖商貿這裏遇到的應該就是后一種。黑客利用這種方式控制訪問該網站的個人電腦或其他終端，然後收集這些終端的數據。

被收集了數據的個人電腦和終端將被黑客隱秘的控制，成為一台“肉雞”。而以後，當黑客想要對某些網站發動洪水攻擊時，便能方便利用到這些肉雞。或者也可以在其他攻擊中使用肉雞當跳板。

讓鍾錦感到奇怪的是，這樣一個小公司的內部網站，究竟有什麼注入價值。其獨立訪問量可能一天都不過百，而且大多時候來源是同樣的電腦，所以通過這種注入惡意腳本的方式能控制的電腦實在有限。

這樣不會很不值得嗎？

不過她並沒有繼續想下去。反正齊輝找她來只是為了解決問題，她也就專心於此便好。

遭到sql注入之後標準的事件響應方式包括三部分：

一、關閉網站

二、查看iis日誌，查找引起攻擊的漏洞源網頁

三、增強改進asp頁面，防堵漏洞。【注1】

不過這三部是屬於危機響應的方案，亡羊補牢的意味大於解決問題，治標不治本。網站切斷了外部連結之後等於關閉，只有內部ip可以連接。然後通過日誌查找，鍾錦很快確定了漏洞所在頁面。

仔細瀏覽了前後台代碼之後，鍾錦發現這個漏洞十分明顯，而且修改起來並不困難。

“注入點我已經找到了，看這裏，是存儲過程使用執行命令的參數問題。這裏參數不要直接寫入，要用傳參……”

鍾錦一邊說，一邊迅速改動着文檔，沒幾分鐘就完成修改。刷洗頁面之後，與原來無異。但是通過簡單的驗證之後發現，頁面已經無法進行注入攻擊。

齊輝畢竟實習這麼久，鍾錦做了一步他就看明白了。

“不過你們網站裏類似的漏洞還不少，估計所有的存儲程序都要梳理一遍。”鍾錦提示齊輝，“否則再次打開公共訪問之後，攻擊還會出現。”

齊輝點頭：“知道怎麼修改堵漏洞就行，剩下的我慢慢來吧，正好可以找老闆要加班工資。”

說完三個人都笑了。

“我再幫你查一下有沒有其他種類漏洞。”鍾錦說著打開自己的網盤，從裏面拖了一個掃描器出來。

雖然是小公司的內部站，但也並不是簡單的幾個表格幾個頁面組成的。前台後台加起來上千個文件，光是基本表格就有幾十張張，而大量的sq1存儲過程最可能隱含可注入點。鍾錦要是想全部看完根本不現實，而這種原本用於黑客攻擊的掃描手段卻是此刻最合適的。

鍾錦所用的掃描器是在國內較為有名的黑客論壇下到的，不過對漏洞和字典的更新則由她自己進行。其實掃描器本身並不重要，關鍵是其中應用到的漏洞。對於大多數黑客的攻擊來講都是如此。誰掌握了最新的，無人知道的漏洞，誰便能在黑客戰爭中拔得頭籌。這也是為什麼oday（沒有補丁的漏洞利用程序）如此重要，人人爭搶。

掃描的速度很快，返回的注入文件、注入點類型和數目都一條條清晰顯示在了軟件中。

根據結果，鍾錦判斷原本公司外包建立的基礎數據庫網站還算過得去，數據庫表格的建立和各種調用選擇，與前台算法和交流都算得上中規中矩，並且不算特別落伍。也因此可注入點十分少，就算有也都是後來發現的漏洞，甚至是極少有人知道的注入點。

然而在大聖公司進行獨立開發之後，新增加的功能和頁面中則出現了大量的五花八滿的漏洞。有些注入點十分明顯簡單，幾乎是人人皆知。鍾錦實在沒有想到數據庫編程發展到今天，還會有人犯如此低級的錯誤。

不過這也不難理解，不看漏洞，單看代碼本身，大聖商貿的內部網站也已經成了一場災難。因為經手的人太多，而且都是沒經驗的在校實習生，於是便產生了大量的冗餘文件，並且代碼臃腫，算法毫無簡潔快速可言。鍾錦甚至在一個文件里看到了四重循環。也就是這網站的數據庫還不算特別大，又是內部網站訪問量有限，否則早就卡死了。

這樣的開發導致系統脆弱得跟篩子似的，隨處可見破綻。

鍾錦不是傻子，沒可能給人做白功，從根本上梳理整頓補上所有漏洞。事實上，想要真正的治標，這個網站幾乎可以從新架構了。齊輝也清楚這一點，並且十分贊同，按他的話說，沒道理拿着治標的錢幹着治本的活。

既然如此，鍾錦也就不多事。

畢竟，她還一分錢沒拿，純粹友情登場呢。

鍾錦將每一個漏洞都選擇了一份文件進行修補示範，並告訴齊輝文件里的可注入點，以及原理。直到完成這些，她才站起身來。

“剩下就靠你自己咯！”

齊輝狂點頭：“大神放心吧！”

齊輝送鍾錦和賈小蕊離開，路上問起關於ctf比賽的事情。

“大神，今年你參加不？”他問，“我聽說大軍他們要找人組隊參加呢。”大軍也是他們實驗室的，比兩個人小一屆，今年大二。平時非常活躍，經常參加各種校內校外的計算機或網絡比賽。

鍾錦道：“不知道呢，他們沒和我說。”

齊輝慫恿她：“那你問問他們？反正組隊參加，據說拿到分數可以加學分呢！”

賈小蕊道：“真的假的？那我也要！”

齊輝和她聊得也熟了，知道她大概什麼水平，便直接道：“你就是參加也拿不到分，別湊熱鬧了！”

“哼。”賈小蕊也清楚自己斤兩，並不以為忤。雖然沒聽說過這個ctf比賽，但是從他們剛才聊天的內容來看，恐怕不會容易。

鍾錦笑了笑：“其實想比賽，未必要去玩ctf。這學期不是學校的遊戲實驗室要辦遊戲大賽嗎？一個周末兩天的時間，組隊或者單人做一款遊戲，不限平台不限方式，最後看誰的遊戲最受歡迎，最有創意。”

賈小蕊想了想：“好像也挺有意思。”

“而且你畫畫好，可以和人組隊。畢竟對遊戲來講，美工還是挺重要的。”鍾錦道。

賈小蕊眼睛亮了起來：“鍾錦！陪我玩這個！”

鍾錦想了想點頭：“行。”

齊輝也道：“那要不我也跟着摻一腳？”

三人說著便定下來，由齊輝負責安排報名。現在開學已經三個星期多，距離比賽日期還有一個半月左右，雖然時間有點緊，但是只要遊戲創意確定下來，其他準備工作倒也不需要做太多。若是有電子元件或者設備需要採購，從學校去電腦城也並不遠，十分方便。

鍾錦陪着賈小蕊去到本城鬧市區的蘋果店。後者早就看中了13寸的macbookair，到那邊沒費什麼話大概看了看就直接買下來了。店裏的“蘋果天才”教了她最新的系統使用，手勢及界面切換方法等，賈小蕊玩得不亦樂乎。

電腦買的順利，賈小蕊又提議吃個飯然後去看電影。按照她的話講，周末大好時光不能浪費。鍾錦笑她就這樣還想做黑客，做大牛，賈小蕊憤怒反駁，勵志從明天開始努力。

等她們回到學校時已經是晚上七點多了。

“齊輝建了個q群組，要拉你進來方便討論比賽的事情。”鍾錦看電腦上齊輝的留言。她和齊輝彼此互加了qq所以已經被拉進組裏，但是他沒有賈小蕊的qq，只能問鍾錦要。

賈小蕊道：“行啊，我去加。”

說完她又問鍾錦：“你說咱們做個什麼遊戲好呢？”