SQL注入(SQLi)利用不安全 Web App 和数据库驱动的类似软件，抽取或篡改数据(如用户账户记录)，甚至在服务器上执行Shell指令。

这是合法用户和攻击者提交的代码，没有经过验证和清晰所导致的结果。被攻击软件或许期待的是一个订单号，而黑客发过去的却是一条SQL语句，而这恶意代码片段被包含到接下来的数据库查询中，让服务器按黑客的指令吐出敏感数据或执行他/她期待的动作。

据所掌握的信息可知，用户可租用喀秋莎扫描器专业版(Katyusha Scanner Pro)每月200美元租金;或者在自己的系统上安装一个，500美元。该软件使用免费渗透测试工具Anarchi扫描器对网站执行SQLi攻击。最重要的是，它能通过Telegram即时消息系统进行控制。

所以，基本上，用户可以在联网服务器上执行喀秋莎——无论是租用还是自己安装，然后用Telegram发送指令——比如攻击somepoorbastard.biz或mydietpillsnotascam.org之类的网站，直到命中一个有漏洞的网站。如果有专业版，还可以自动抽取登录凭证和内部数据库内容。轻量级版本也可用——只要你觉得自己可以利用任何已知漏洞。

这基本上意味着，没有技术背景的罪犯，也能很容易地用手机对无数公司企业发起攻击。如上所述，可通过Web门户控制，也可以通过Telegram文字消息控制。威胁情报公司 Recorded Future 的研究人员，是在暗网最封闭的隐藏黑客论坛上发现该软件包的售卖的。

Recorded Future 在博客中解释称：“在黑客过程可通过标准Web接口控制的同时，喀秋莎扫描器的独特功能，还能让罪犯上传目标网站列表，对多个目标发起同步攻击，通过Telegram并行无缝地进行控制。”

该技术受到了脚本小子的一致好评，其专业的客户支持也收到了极高赞誉。当然，经验老道的网络罪犯，也可以在他们的智能手机或平板上用SSH隧道做到这些;但喀秋莎实在是太易用了——令人担忧的地方正在于此。

攻击演示：某人通过telegram控制喀秋莎

扫描完成后，喀秋莎会对每个发现的目标显示Alexa网站评级，提供所发现Web安全漏洞的潜在重要性与利用可能性指南。

喀秋莎扫描器这种高度健壮又不贵的在线工具，降低了网络攻击的技术门槛，只会进一步恶化各公司遭受的数据泄露问题，凸显出定期基础设施安全审计的重要性。

信息安全厂商 Positive Technologies 的一份调查研究显示，2017年第一季度流传最广的攻击形式就是SQLi和跨站脚本攻击，各占被检测攻击总数的1/3。该报告将政府机构的Web应用列为了黑客首要攻击目标，其后是IT公司和金融机构，教育机构排在第四位。

注：喀秋莎这个工具名，映射的是苏联在二战期间研发的一款标志性多管火箭发射器，以其隐秘性和破坏性成为了纳粹军队的噩梦。

作者：nana