大战黑客，一路披荆斩棘，百亿互联网金融平台救火故事！

发布时间：2017-10-05 05:06:42 所属栏目：站长百科来源：51CTO

导读：副标题#e# 多年前，又是周六客服打电话过来，平台官网不能访问，APP 完全无法打开，客户在 QQ 群和微信群中各种反馈，说平台是不是跑路了?客服的多条 400热线完全被打爆，电话已经接不过来… 一直以来总是想以什么方式去记录下自己在互金行业的这段经历，趁

我们的官网是使用 PHP 开发的，因为框架比较老旧的原因，存在着一些 SQL注入的点，我们发现了一些并进行了修补，没想到还是被一些黑客找到了突破点，这块还是比较感谢一些黑客在漏洞盒子上面提交的 Bug，如下图：

最后我们根据提示进行了紧急修复，后来也在 WAF 防火墙配置了一些拦截 SQL 注入的策略，起到双保险的作用。

我一直在想为什么 PHP 比较容易出现 SQL 注入呢，而 Java 较少暴露出来 SQL 漏洞的情况，我估摸着有两方面的原因：

PHP 一般前端使用较多，受攻击的机会更多一些，Java 一般做为后端服务攻击的可能性会比较少。
PHP 框架较多而且很杂，很多早期的框架并没有特别考虑 SQL 注入的情况，Java 大量普及了 mybaitshibernate 这种 orm框架，框架本身对常见的 SQL 注入有防范的功能。

但不是说 mybaits/hibernate 框架就没有被 SQL 注入的可能，大部分场景下是 OK 的，另外参数化查询可以有效的避免 SQL注入。

通过一段时间的学习，我发现黑客一般先使用工具对网站做整体的扫描类似Acunetix，在根据扫描出来的漏洞做个大概的分析，但是比较深入的漏洞都需要根据网站的业务再进行调整。

比如 SQL 注入会根据页面的查询使用 sqlmap 等工具来进一步的渗透。当然我对这方面还是外行，描述的可能不够清晰。

验证码漏洞

我们当初有一个很小的失误，有一个程序员在 H5 的小网页中将发送短信验证码返回给了前端，最后被 Haker发现了，他利用这个漏洞可以给任意的用户重置登录密码。

那一晚上我们几百多个用户收到了密码重置的短信，虽然黑客最终也没有改用户的密码，只是发短信玩了一把，但是对于平台来讲无形的价值(信誉度)损失不小。

短信攻击

现在的网站几乎都有发送短信或者短信验证码的功能，如果前端不做校验，Haker 会随便写一个 for循环来发短信，一般系统的短信会进行全方位的防控。

比如：在前端加验证(字符验证码，有的是拖拽的动画);在后端根据用户或者 IP 加限制，如果用户一分钟只可以发送一条短信，忘记密码的短信一天只能发送 10条、一个 IP 地址限制每天只能发送 100 条短信等。

黑客攻击公司的网站未必完全是一件坏事，一方面说明了公司已经吸引到了很多人的关注，另一方面对我们技术团队是一次检验，黑客有时候会给你带来完全不同的一种思路想法。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!