本圖中就是數(shù)據(jù)庫(kù)的結(jié)構(gòu)���,其中簡(jiǎn)單攻擊只要猜測(cè)數(shù)據(jù)庫(kù)名����、表名、列名�����、字段名就可以�,一般程序員的開(kāi)發(fā)都是見(jiàn)名知意的方式進(jìn)行開(kāi)發(fā),由其具有通用性的程序��。一般把數(shù)據(jù)庫(kù)�����、表����、列的名字起的比較有創(chuàng)新時(shí)會(huì)防御這種攻擊。
但是�����,除了猜表外�����,數(shù)據(jù)庫(kù)提供一種坐標(biāo)查詢的方法,以橫坐標(biāo)和縱坐標(biāo)的方式查詢���。既:
0�,1 0��,2 0���,3 0����,4
1��,1 1����,2 1����,3 1,4
2��,1 2,2 2���,3 2�,4
3����,1 3,2 3����,3 3,4
4�����,1 4�����,2 4����,3 4,4
黑客只要知道坐標(biāo)位置�,既可以從數(shù)據(jù)庫(kù)中獲得目標(biāo)的數(shù)值����。
通過(guò)以上程序�����,黑客們一步步抽絲剝繭地把一個(gè)個(gè)門檻給破解�,直至將對(duì)方的數(shù)據(jù)庫(kù)裸露在它的視線之下,毫無(wú)隱私可言����。
三、阻擊SQL注入漏洞——詳述磐迅應(yīng)用安全網(wǎng)關(guān)解決方案
其實(shí)針對(duì)SRL注入漏洞已經(jīng)有很多解決方案進(jìn)行阻擊��,以下就清華同方磐迅應(yīng)用安全網(wǎng)關(guān)解決方案進(jìn)行詳細(xì)拆解����。
磐迅應(yīng)用安全網(wǎng)關(guān)針對(duì)防火墻和UTM的問(wèn)題��,實(shí)現(xiàn)透明串入在防火墻���、UTM���、負(fù)載均衡設(shè)備之后�,或使用WCCP協(xié)議旁路在交換機(jī)同級(jí)�����,在內(nèi)容過(guò)濾方面保護(hù)信息系統(tǒng)的訪問(wèn)安全�。
由于和防火墻等設(shè)備連動(dòng)可以有效的避免數(shù)據(jù)傳輸中七個(gè)層間的所有問(wèn)題,同時(shí)在應(yīng)用方面應(yīng)用了先進(jìn)技術(shù)架構(gòu)�����,避免了UTM性能不足的尷尬�。具體到SRL注入漏洞,磐迅應(yīng)用安全網(wǎng)關(guān)主要有三種安全解決方案進(jìn)行阻擊�����,它們各有優(yōu)缺點(diǎn)���,對(duì)于廠商和政府來(lái)說(shuō)可具體考慮用那種方案����。
解決方案一:使用黑盒測(cè)試程序檢測(cè)網(wǎng)站安全性問(wèn)題�����,然后連同程序員一起分析修改源程序,重新編譯再發(fā)布����。
清華同方專家認(rèn)為此方案最大的優(yōu)點(diǎn)是發(fā)現(xiàn)問(wèn)題并徹底解決問(wèn)題。
但是同樣有一些不足:例如費(fèi)用和時(shí)間成本昂貴�����。不確定是否能發(fā)現(xiàn)所有問(wèn)題����、檢測(cè)費(fèi)時(shí)、修復(fù)費(fèi)時(shí)���、容易引起非授權(quán)的其他修改��、容易改錯(cuò)��、修復(fù)問(wèn)題再檢測(cè)還要重新檢測(cè)功能和性能�、跟不上業(yè)務(wù)升級(jí)需求的時(shí)間���、發(fā)生問(wèn)題時(shí)會(huì)影響業(yè)務(wù)的連續(xù)性。
對(duì)已經(jīng)被攻陷的系統(tǒng)����,如不及時(shí)中斷服務(wù)可能會(huì)引起更嚴(yán)重的安全事件�����、可能在安全事件暴露前已經(jīng)引發(fā)黑客攻擊�����,潛在存留了各種其他層面的安全問(wèn)題��,如��,增加隱藏帳號(hào)�����、增加了端口反彈器�、重定向了操作系統(tǒng)權(quán)限��、篡改了數(shù)據(jù)包信息�����、監(jiān)聽(tīng)了內(nèi)部消息等�����。
此外,在實(shí)際實(shí)施過(guò)程中也遇到一些問(wèn)題:
程序研發(fā)人員的崗位變動(dòng)和時(shí)間間隔��,基本造成原有代碼很難處理���,重新開(kāi)發(fā)又受限于業(yè)務(wù)邏輯要重新整理�,沒(méi)有完善的文檔和研發(fā)管理者��,很難修復(fù)系統(tǒng)��。
解決方案二�����、在服務(wù)器上安裝軟件應(yīng)用防火墻�����,代理訪問(wèn)服務(wù)分析協(xié)議中止SQL注入攻擊���。
清華同方專家認(rèn)為此方案的特點(diǎn)是發(fā)現(xiàn)問(wèn)題并非徹底解決問(wèn)題���,費(fèi)用少、速度快能及時(shí)阻斷黑客攻擊�。但它不能徹底的解決問(wèn)題,只是建立了防御系統(tǒng)���,問(wèn)題本身還要結(jié)合第一種方案來(lái)修復(fù)��。部署在服務(wù)器上的軟件受到操作系統(tǒng)的安全性影響����,同時(shí)受到擁有操作系統(tǒng)維護(hù)權(quán)限人員的影響風(fēng)險(xiǎn)比較高��,受誤操作�����、系統(tǒng)兼容性和軟件兼容性影響較大����,內(nèi)存管理方面優(yōu)先級(jí)和分配成為制約,處理性能較差�,維護(hù)復(fù)雜。
在實(shí)際實(shí)施中遇到的問(wèn)題是找不到針對(duì)該操作系統(tǒng)和服務(wù)器程序的專用程序��,管理人員較多篡改了合理設(shè)置而難以追究,已經(jīng)被攻擊過(guò)的系統(tǒng)很難根除黑客進(jìn)入的途徑��。
解決方案三����、在防火墻后面串入或旁路應(yīng)用安全網(wǎng)關(guān)�����,代理訪問(wèn)服務(wù)分析協(xié)議中止SQL注入攻擊�。
這套解決方案配置很簡(jiǎn)單�,管理靈活,性能滿意����。
清華同方專家認(rèn)為主要有以下的特點(diǎn):
A、依據(jù)ISO17799標(biāo)準(zhǔn)和OWASP制定的防御注入模塊���,徹底發(fā)現(xiàn)問(wèn)題并非徹底解決問(wèn)題�,速度快及時(shí)阻斷黑客攻擊���,解決陷落系統(tǒng)的綜合安全問(wèn)題和可能存在的應(yīng)用威脅����,全面阻斷黑客的攻擊手段,防止維護(hù)程序和發(fā)布的人員篡改安全基線�����。
B��、除SQL注入攻擊外�,還可以防網(wǎng)頁(yè)篡改�、防跨站腳本、防遠(yuǎn)程執(zhí)行�、防應(yīng)用提權(quán)、防病毒惡意軟件�����、防木馬����、防網(wǎng)馬、防垃圾郵件�����、防釣魚(yú)網(wǎng)站����、防關(guān)鍵內(nèi)容泄密��。
C��、基于通訊協(xié)議工作�����,支持電腦�、手機(jī)��、Windows�����、安卓��、蘋(píng)果����,支持互聯(lián)網(wǎng)、3G移動(dòng)互聯(lián)網(wǎng)����、局域網(wǎng)和私有網(wǎng)絡(luò)等的硬件��、操作系統(tǒng)和網(wǎng)絡(luò)的安全過(guò)濾����。
D�、針對(duì)協(xié)議進(jìn)行內(nèi)容審核,采集樣本精確�����,檢測(cè)比對(duì)詳細(xì)����,威脅指紋豐富并及時(shí)快速更新����,歷史數(shù)據(jù)加速,處理性能較高��,維護(hù)簡(jiǎn)單�,整體成本較低。
E���、減少其他維護(hù)的難度��,支持IP���、MAC透明代理�,支持分段IP地址策略分級(jí)�����,定制化策略�,提供租用管理的可能。
F���、產(chǎn)品軟件和硬件結(jié)合的產(chǎn)品可最大優(yōu)化計(jì)算能力���。高效及時(shí)的解決上線系統(tǒng)和剛上線系統(tǒng)的保護(hù),為CSO贏得上線時(shí)間�,贏得問(wèn)題修復(fù)時(shí)間。
這套解決方案的主要問(wèn)題是一次性硬件投入較大�����,但可通過(guò)服務(wù)公司轉(zhuǎn)化成租用服務(wù)����,或與電信公司合作轉(zhuǎn)化成租用服務(wù)���。每年有服務(wù)續(xù)約費(fèi)用。
四�����、SQL注入漏洞帶來(lái)的警示
通過(guò)以上拆解可以看到��,SQL注入攻擊是找開(kāi)通向數(shù)據(jù)庫(kù)的鑰匙����。它給企業(yè)和政府帶來(lái)了眾多的警示,清華同方的專家認(rèn)為主要有以下三方面:
1�、網(wǎng)站和云計(jì)算服務(wù)商的安全急需依據(jù)標(biāo)準(zhǔn)構(gòu)建
網(wǎng)站�����、云計(jì)算應(yīng)當(dāng)仔細(xì)的保護(hù)好自己的數(shù)據(jù)庫(kù)系統(tǒng)���,防止黑客從合法協(xié)議���、端口和授權(quán)中獲得非授權(quán)內(nèi)容。國(guó)際上很早就對(duì)信息安全有了明確的安全標(biāo)準(zhǔn)�����,如著名的ISO17799、ISO27001以及OWASP等����。在物聯(lián)網(wǎng)、云計(jì)算�����、私有網(wǎng)行業(yè)盛行的今天��,信息安全的問(wèn)題尤為重要���。如果由信息系統(tǒng)控制的生產(chǎn)系統(tǒng)受到黑客的攻擊�����、破壞或篡改�����,會(huì)造成社會(huì)不安定不和諧的因素���。并且很多攻擊�,從SQL注入入手��,還會(huì)延伸到發(fā)生病毒��、垃圾郵件��、釣魚(yú)網(wǎng)站和欺騙等等問(wèn)題��。
2����、防火墻的無(wú)力
防火墻技術(shù)主要是解決開(kāi)放端口,只對(duì)通訊協(xié)議是否可以使用起作用�,而不去管理協(xié)議中的內(nèi)容是否有雜質(zhì),就防堤壩一樣���,指定端口的數(shù)據(jù)通過(guò)時(shí)����,是否存在泥沙并不進(jìn)行處理���。
SQL注入攻擊的防御就像在合法端口中建立起來(lái)詳細(xì)的安全審核制度,防止那些不規(guī)范的代碼被黑客利用�����。這種防御就如同在堤壩通過(guò)的流量中加入了更細(xì)的過(guò)濾網(wǎng),把威脅從中過(guò)濾�����。
本次“密碼門”事件主要問(wèn)題就出在服務(wù)器端���,而非防火墻��。
3����、現(xiàn)有防御系統(tǒng)的問(wèn)題
下圖為目前企業(yè)基本的防御系統(tǒng):
這樣的安全方案只能防御下三層的數(shù)據(jù)安全以及傳輸過(guò)程中的加密����,但如果在授權(quán)協(xié)議內(nèi)進(jìn)行SQL注入攻擊,這樣的系統(tǒng)則不能防御���,無(wú)法保護(hù)數(shù)據(jù)庫(kù)和應(yīng)用服務(wù)器�����。因?yàn)镾QL注入攻擊后��,馬上可以通過(guò)合法端口穿越防火墻����,控制內(nèi)部系統(tǒng)。而在內(nèi)部系統(tǒng)基本是非常脆弱的�,而且對(duì)用戶端的保護(hù)投入較高。
如果使用防火墻�����,首先沒(méi)有辦法防御SQL注入攻擊�����,同時(shí)在內(nèi)部安全方面投入巨大���。要?jiǎng)澐衷敿?xì)的VLAN以及詳細(xì)的管理每一臺(tái)服務(wù)器自身的防火墻系統(tǒng)�。對(duì)服務(wù)器內(nèi)使用的所有應(yīng)用都要詳細(xì)審核�����,以及建立內(nèi)部詳細(xì)的防毒系統(tǒng)等��。
結(jié)語(yǔ):但凡因漏洞而導(dǎo)致的問(wèn)題����,通常都伴隨著對(duì)一些問(wèn)題的疏忽,或者是技術(shù)的疏忽���,或者是管理上的疏忽�,簡(jiǎn)言之就是自己出問(wèn)題了�。因此,戰(zhàn)略上藐視而戰(zhàn)術(shù)上必須重視這些問(wèn)題��,否則正所謂防不勝防��,而最致命��、最難防的還是自己的疏忽����。
沒(méi)有無(wú)漏洞的系統(tǒng),也沒(méi)有無(wú)漏洞的網(wǎng)絡(luò)�����,天下無(wú)賊只是一種理想的境界�,因此時(shí)時(shí)將信息安全放于心中���,放到實(shí)際行動(dòng)當(dāng)中,找尋到最佳的解決方案才可能將危險(xiǎn)降到最低����,甚至杜絕這種危險(xiǎn)。
果.jpg)