海外安詳公司發明白來自Google呆板人的SQL注入進攻，迫使他們應急的時候配置計策對Google的IP舉辦屏蔽。

　　有件工作我們需要寄望的是，險些所有的云防火墻的法則城市對搜索引擎呆板人配置白名單。

　　今朝來說我們的糊口照舊很幸福的，但當你發明一個正當的搜索引擎呆板人被用來進攻你的網站，你還睡得鞏固嗎?

　　這是幾天前我們一個客戶的網站所產生的實實在在的案例，，我們開始對Google呆板人的IP舉辦屏蔽，按照抓到的請求可以判定它做的是SQL注入進攻。你沒聽錯，對!Google呆板人在對你們做SQL注入!

　　請求

　　我們的發明始于Google呆板人的IP地點被SQL注入防護計策屏蔽，列位看官看以下日志(打了點碼)：

　　66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")[email protected]%

　　20varchar(8000([email protected]%20=%200x527%20exec(@q)%20-- HTTP/1.1" 403 4439 "-"

　　"Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

　　我們的第一回響是以為這是個偽造的呆板人，但當我們查抄IP地點來歷是卻發明這是實實在在的google呆板人!

　　$ host 66.249.66.138

　　138.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-138.googlebot.com.

　　NetRange: 66.249.64.0 - 66.249.95.255

　　CIDR: 66.249.64.0/19

　　OriginAS:

　　NetName: GOOGLE

　　進一法式查顯示其它相似的請求簽名都是來自于Google的IP地點。

　　到底咋回事?

　　其實Google并不是真有樂趣要黑我們，它是真的愛我們。

　　場景是這樣的：

　　Google呆板人正在網站A收集信息，網站A內嵌入了對方針網站B的SQL注入請求鏈接，Google呆板人順著鏈接會見網站B，就無意中開始對網站B執行了SQL注入進攻。

　　看到這里各人應該懂了吧?

　　操作呆板人做進攻?

　　我們假設有個黑客叫小明。小來日誥日天花許多時間在找web裂痕，所以小明也發明白一堆的裂痕站。而他也很清楚大白，他必需要掩飾他的行為。

　　而一個安詳人員最普遍的要領都是闡嫡志。小明也知道這點，所以他此刻大概有一個B網站的裂痕，好比SQL注入可能RFI。

　　于是小明到本身的網站A上面，寫下這些EXP，讓爬蟲來爬……

　　這種雷同場景其實很容易想象吧?

　　我們已經就這個問題接洽谷歌了。對付爬蟲，我們不能僅僅只是做白名單，而應該在這前面先對請求做檢測!