我的百度BAE相册被人SQL注入攻击

2012-06-09

今天打开我的百度BAE相册(http://1.mawenjian.duapp.com/),发现照片中多了一个cc1.php的文件。因为php文件不能正常显示的缘故吧,所以这个文件显得格外显眼。这个文件给我的第一感觉就是——程序被攻击了!

说句实在的,因为我从新浪SAE移植这个程序的时候就马马虎虎的,再加上原来的程序中存在的一些漏洞,所以被攻击得手是很正常的事情了。

从攻击的原理来推测,我认为十有八九是SQL注入攻击。因为我的百度BAE相册URL中有好几个地方是暴露参数的,再加上当时只注意功能的实现,没注意对传递参数的合法性进行检测,所以被SQL注入的可能性最大。

好在我的PHP程序是运行在百度BAE平台上的,可执行的PHP文件必须通过SVN方式才能上传;而支持上传的百度云存储空间呢,则不支持执行PHP程序。所以,虽然我的程序被SQL注入成功了,但是意义也不大。纵使其攻破了我的管理后台的用户名和密码,也没什么大不了的,反正里面也没什么东西。要说最大的损失,莫过于得到了我的百度云存储的AK和SK了。但是也没事,大不了我重置一下AK和SK。

不过令我惊奇的是,这样一个时常不更新的破相册程序,居然也有朋友感兴趣,看来口味确实够独特的。莫非看上了首页的PR=1?不想了……


除非特殊说明,本博客文章均为原创,转载请以链接形式标明博文地址。

本文链接地址: 我的百度BAE相册被人SQL注入攻击

分类:随笔文章 | 标签: |