第4部分(第1/4 页)

大圣商贸为了管理方便，自然也建立了内部的管理系统。实际上就是一个ASP。加SQL的数据库罢了。这个数据库也不是他们自己雇人建立的，而是外包给了一家专业公司。这家外包的公司很快将数据库开发完成，然而随着大圣商贸的发展，不断需要增加新的功能，新的数据库。每一次后续开发需要大量金钱不说，还十分麻烦，而且两年之后，给他们开发系统的公司也因为人事变动不存在了。

于是大圣商贸只能自己进行数据库的维护和后续开发工作。原本的IT部门主管，只负责内部计算机网络、硬件、通讯，邮件系统等等，现在还要负责代码开发，功能添加，有些力不从心。于是便开始雇佣合同代码工和实习生。

齐辉就是在这种情况下被招进来的。

“齐辉，你是怎么和你老板说的？”钟锦问道，“他同意你带外人来查看系统？”

齐辉讪笑一声道：“我们这公司，哪有那么严格负责。况且雇佣的都是实习生，基本每个人都拿着系统的密码，远程登录都能修改程序……”

他说了几句，钟锦也就明白怎么回事了。这倒也不算太出奇，还是那句话，对于这样的小公司，要求用USB秘钥登陆什么的，实在太夸张。

“我有和老板提起，他说如果你做的好，也可以来我们公司实习。”齐辉说到这里嘿嘿一笑，“不过我估计你是看不上啦，我看你做合同工还差不多。我们公司找的那些写合同代码的，还不如你呢。”

钟锦笑了笑，没说什么。

大圣商贸没有专门的IT部门办公室，只是一个大办公室里，几个小隔间分给了技术部。其他都是营销业务人员，一天到晚不是在打电话就是跑业务。

“看看系统吧。”齐辉很快登录系统，打开网站，然后分别登陆了数据库服务器和前端服务器。

大圣商贸上至公司老板，下至跑腿员工，每一个都在使用这套系统。不过既然系统是对内的，就只需要讲究功能实用，使用方便，速度快捷，并不需要界面美观。所以当钟锦看到这套系统时，对它的难看程度并没有太惊讶。

倒是贾小蕊叫了一声。“怎么这么难看啊。”

齐辉听了，便大致解释一番，两人你来我往，愉快地聊了起来。

钟锦开始还听得他们说什么，后来就专注于屏幕上的文件和数据库管理器等。

“大概了解了。”她很快掌握了网站构架。

齐辉打开几张表格：“看这里的代码，应该是恶意Javascript脚本，用户读取数据库之后就会被自动执行这些脚本，连接到黑客的服务器。”

“这表已经清理很多遍了，还是不行。应该是SQL注入攻击，我们找不到注入点，结果就是一遍遍的被人篡改。”齐辉问，“我还是第一次亲眼看到，也不知道谁这么闲的。”

钟锦点点头：“我知道了。”

这确实是网络攻击中十分常见的SQL注入。

作者有话要说：唔虽然字数多，可是我知道很多人都要跳过（掏手绢擦泪~

☆、第6章　两个比赛

SQL注入说到底只是一种入侵手段，而除非黑客对网站本身的权限和密码感兴趣，否则就还会有后续步骤和目的。

大圣商贸这里遇到的应该就是后一种。黑客利用这种方式控制访问该网站的个人电脑或其他终端，然后收集这些终端的数据。

被收集了数据的个人电脑和终端将被黑客隐秘的控制，成为一台“肉鸡”。而以后，当黑客想要对某些网站发动洪水攻击时，便能方便利用到这些肉鸡。或者也可以在其他攻击中使用肉鸡当跳板。

让钟锦感到奇怪的是，这样一个小公司的内部网站，究竟有什么注入价值。其独立访问量可能一天都不过百，而且大多时候来源是同样的电脑，所以通过这种注入恶意脚本的方式能控制的电脑实在有限。

这样不会很不值得吗？

不过她并没有继续想下去。反正齐辉找她来只是为了解决问题，她也就专心于此便好。

遭到SQL注入之后标准的事件响应方式包括三部分：

一、关闭网站

二、查看IIS日志，查找引起攻击的漏洞源网页

三、增强改进ASP页面，防堵漏洞。【注1】

不过这三部是属于危机响应的方案，亡羊补牢的意味大于解决问题，治标不治本。网站切断了外部链接之后等于关闭，只有内部ip可以连接。然后通过