还没公开的网站就好像被黑了，数据库里有这些字段

2013-02-23 22:33:10 +08:00

sapherise

asdfsdf aND 7796=7796
PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==
/etc/passwd
${@print(md5(this_is_a_test_string))}

请问对方除了尝试SQL注入外，
还做了哪些尝试？
怎么防范这些措施？

4017 次点击

所在节点

信息安全

7 条回复

Livid

2013-02-23 22:47:56 +08:00

考虑用 Incapsula 吧：

http://www.incapsula.com/

sapherise

2013-02-23 22:52:45 +08:00

@Livid 功能是让网站加速吗？
我是想加强网站的安全性..

Livid

2013-02-23 22:55:00 +08:00

@sapherise 加速不是 Incapsula 的主要功能，安全是他们最强的地方：

http://www.incapsula.com/tour/website-security

Mutoo

2013-02-24 00:21:26 +08:00

这些数据成功写进数据库了，其中

asdfsdf aND 7796=7796 // 测试注入
PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg== //<script>alert(1)</script> 测试跨站
/etc/passwd // 测试读敏感文件
${@print(md5(this_is_a_test_string))} // 测试执行php

如果你在某些敏感的语句引用到了这块数据，可能就会输出一些东西给hack，hack 可以根据回应进行下一部注入

sapherise

2013-02-24 02:29:18 +08:00

@Livid 谢谢，明天去用用看

sapherise

2013-02-24 02:30:04 +08:00

@Mutoo 厉害…先过滤掉这些字符

a81874678

2013-09-16 15:06:15 +08:00

${@print(md5(this_is_a_test_string))} 我的一个没公开的网站也出现了这个

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/61175

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.