本圖中就是數(shù)據(jù)庫的結(jié)構(gòu)���,其中簡單攻擊只要猜測數(shù)據(jù)庫名���、表名���、列名、字段名就可以�,一般程序員的開發(fā)都是見名知意的方式進行開發(fā),由其具有通用性的程序���。一般把數(shù)據(jù)庫���、表�、列的名字起的比較有創(chuàng)新時會防御這種攻擊����。
但是,除了猜表外����,數(shù)據(jù)庫提供一種坐標(biāo)查詢的方法,以橫坐標(biāo)和縱坐標(biāo)的方式查詢�。既:
0,1 0���,2 0��,3 0����,4
1�����,1 1����,2 1,3 1�����,4
2���,1 2����,2 2��,3 2�,4
3,1 3����,2 3,3 3��,4
4���,1 4��,2 4���,3 4�,4
黑客只要知道坐標(biāo)位置���,既可以從數(shù)據(jù)庫中獲得目標(biāo)的數(shù)值����。
通過以上程序����,黑客們一步步抽絲剝繭地把一個個門檻給破解,直至將對方的數(shù)據(jù)庫裸露在它的視線之下��,毫無隱私可言�����。
三����、阻擊SQL注入漏洞——詳述磐迅應(yīng)用安全網(wǎng)關(guān)解決方案
其實針對SRL注入漏洞已經(jīng)有很多解決方案進行阻擊,以下就清華同方磐迅應(yīng)用安全網(wǎng)關(guān)解決方案進行詳細拆解���。
磐迅應(yīng)用安全網(wǎng)關(guān)針對防火墻和UTM的問題��,實現(xiàn)透明串入在防火墻��、UTM�����、負(fù)載均衡設(shè)備之后�,或使用WCCP協(xié)議旁路在交換機同級�,在內(nèi)容過濾方面保護信息系統(tǒng)的訪問安全。
由于和防火墻等設(shè)備連動可以有效的避免數(shù)據(jù)傳輸中七個層間的所有問題��,同時在應(yīng)用方面應(yīng)用了先進技術(shù)架構(gòu)�����,避免了UTM性能不足的尷尬�。具體到SRL注入漏洞,磐迅應(yīng)用安全網(wǎng)關(guān)主要有三種安全解決方案進行阻擊�,它們各有優(yōu)缺點,對于廠商和政府來說可具體考慮用那種方案��。
解決方案一:使用黑盒測試程序檢測網(wǎng)站安全性問題���,然后連同程序員一起分析修改源程序�,重新編譯再發(fā)布。
清華同方專家認(rèn)為此方案最大的優(yōu)點是發(fā)現(xiàn)問題并徹底解決問題�����。
但是同樣有一些不足:例如費用和時間成本昂貴��。不確定是否能發(fā)現(xiàn)所有問題����、檢測費時、修復(fù)費時����、容易引起非授權(quán)的其他修改、容易改錯��、修復(fù)問題再檢測還要重新檢測功能和性能��、跟不上業(yè)務(wù)升級需求的時間�、發(fā)生問題時會影響業(yè)務(wù)的連續(xù)性。
對已經(jīng)被攻陷的系統(tǒng)�����,如不及時中斷服務(wù)可能會引起更嚴(yán)重的安全事件、可能在安全事件暴露前已經(jīng)引發(fā)黑客攻擊����,潛在存留了各種其他層面的安全問題,如��,增加隱藏帳號�、增加了端口反彈器、重定向了操作系統(tǒng)權(quán)限��、篡改了數(shù)據(jù)包信息��、監(jiān)聽了內(nèi)部消息等��。
此外�����,在實際實施過程中也遇到一些問題:
程序研發(fā)人員的崗位變動和時間間隔�,基本造成原有代碼很難處理��,重新開發(fā)又受限于業(yè)務(wù)邏輯要重新整理�����,沒有完善的文檔和研發(fā)管理者,很難修復(fù)系統(tǒng)�。
解決方案二、在服務(wù)器上安裝軟件應(yīng)用防火墻���,代理訪問服務(wù)分析協(xié)議中止SQL注入攻擊����。
清華同方專家認(rèn)為此方案的特點是發(fā)現(xiàn)問題并非徹底解決問題�,費用少、速度快能及時阻斷黑客攻擊���。但它不能徹底的解決問題���,只是建立了防御系統(tǒng),問題本身還要結(jié)合第一種方案來修復(fù)�。部署在服務(wù)器上的軟件受到操作系統(tǒng)的安全性影響,同時受到擁有操作系統(tǒng)維護權(quán)限人員的影響風(fēng)險比較高�����,受誤操作���、系統(tǒng)兼容性和軟件兼容性影響較大���,內(nèi)存管理方面優(yōu)先級和分配成為制約�,處理性能較差��,維護復(fù)雜�����。
在實際實施中遇到的問題是找不到針對該操作系統(tǒng)和服務(wù)器程序的專用程序�,管理人員較多篡改了合理設(shè)置而難以追究,已經(jīng)被攻擊過的系統(tǒng)很難根除黑客進入的途徑�����。
解決方案三����、在防火墻后面串入或旁路應(yīng)用安全網(wǎng)關(guān)�,代理訪問服務(wù)分析協(xié)議中止SQL注入攻擊。
這套解決方案配置很簡單�����,管理靈活����,性能滿意����。
清華同方專家認(rèn)為主要有以下的特點:
A��、依據(jù)ISO17799標(biāo)準(zhǔn)和OWASP制定的防御注入模塊����,徹底發(fā)現(xiàn)問題并非徹底解決問題,速度快及時阻斷黑客攻擊��,解決陷落系統(tǒng)的綜合安全問題和可能存在的應(yīng)用威脅�,全面阻斷黑客的攻擊手段,防止維護程序和發(fā)布的人員篡改安全基線��。
B����、除SQL注入攻擊外,還可以防網(wǎng)頁篡改����、防跨站腳本、防遠程執(zhí)行、防應(yīng)用提權(quán)��、防病毒惡意軟件�����、防木馬�、防網(wǎng)馬、防垃圾郵件��、防釣魚網(wǎng)站��、防關(guān)鍵內(nèi)容泄密��。
C�����、基于通訊協(xié)議工作��,支持電腦��、手機���、Windows、安卓、蘋果�,支持互聯(lián)網(wǎng)、3G移動互聯(lián)網(wǎng)��、局域網(wǎng)和私有網(wǎng)絡(luò)等的硬件��、操作系統(tǒng)和網(wǎng)絡(luò)的安全過濾�。
D、針對協(xié)議進行內(nèi)容審核����,采集樣本精確,檢測比對詳細�,威脅指紋豐富并及時快速更新,歷史數(shù)據(jù)加速�����,處理性能較高����,維護簡單,整體成本較低��。
E��、減少其他維護的難度,支持IP����、MAC透明代理,支持分段IP地址策略分級���,定制化策略��,提供租用管理的可能�。
F�����、產(chǎn)品軟件和硬件結(jié)合的產(chǎn)品可最大優(yōu)化計算能力��。高效及時的解決上線系統(tǒng)和剛上線系統(tǒng)的保護�,為CSO贏得上線時間,贏得問題修復(fù)時間�。
這套解決方案的主要問題是一次性硬件投入較大,但可通過服務(wù)公司轉(zhuǎn)化成租用服務(wù)�,或與電信公司合作轉(zhuǎn)化成租用服務(wù)。每年有服務(wù)續(xù)約費用��。
四�、SQL注入漏洞帶來的警示
通過以上拆解可以看到,SQL注入攻擊是找開通向數(shù)據(jù)庫的鑰匙�。它給企業(yè)和政府帶來了眾多的警示,清華同方的專家認(rèn)為主要有以下三方面:
1�、網(wǎng)站和云計算服務(wù)商的安全急需依據(jù)標(biāo)準(zhǔn)構(gòu)建
網(wǎng)站、云計算應(yīng)當(dāng)仔細的保護好自己的數(shù)據(jù)庫系統(tǒng)�,防止黑客從合法協(xié)議、端口和授權(quán)中獲得非授權(quán)內(nèi)容����。國際上很早就對信息安全有了明確的安全標(biāo)準(zhǔn),如著名的ISO17799��、ISO27001以及OWASP等����。在物聯(lián)網(wǎng)、云計算�、私有網(wǎng)行業(yè)盛行的今天,信息安全的問題尤為重要����。如果由信息系統(tǒng)控制的生產(chǎn)系統(tǒng)受到黑客的攻擊、破壞或篡改�����,會造成社會不安定不和諧的因素。并且很多攻擊�����,從SQL注入入手����,還會延伸到發(fā)生病毒、垃圾郵件���、釣魚網(wǎng)站和欺騙等等問題����。
2�、防火墻的無力
防火墻技術(shù)主要是解決開放端口,只對通訊協(xié)議是否可以使用起作用��,而不去管理協(xié)議中的內(nèi)容是否有雜質(zhì)���,就防堤壩一樣���,指定端口的數(shù)據(jù)通過時,是否存在泥沙并不進行處理�����。
SQL注入攻擊的防御就像在合法端口中建立起來詳細的安全審核制度���,防止那些不規(guī)范的代碼被黑客利用�。這種防御就如同在堤壩通過的流量中加入了更細的過濾網(wǎng)�����,把威脅從中過濾��。
本次“密碼門”事件主要問題就出在服務(wù)器端��,而非防火墻����。
3、現(xiàn)有防御系統(tǒng)的問題
下圖為目前企業(yè)基本的防御系統(tǒng):
這樣的安全方案只能防御下三層的數(shù)據(jù)安全以及傳輸過程中的加密���,但如果在授權(quán)協(xié)議內(nèi)進行SQL注入攻擊����,這樣的系統(tǒng)則不能防御�����,無法保護數(shù)據(jù)庫和應(yīng)用服務(wù)器。因為SQL注入攻擊后�����,馬上可以通過合法端口穿越防火墻�,控制內(nèi)部系統(tǒng)。而在內(nèi)部系統(tǒng)基本是非常脆弱的�����,而且對用戶端的保護投入較高��。
如果使用防火墻�����,首先沒有辦法防御SQL注入攻擊�,同時在內(nèi)部安全方面投入巨大。要劃分詳細的VLAN以及詳細的管理每一臺服務(wù)器自身的防火墻系統(tǒng)��。對服務(wù)器內(nèi)使用的所有應(yīng)用都要詳細審核���,以及建立內(nèi)部詳細的防毒系統(tǒng)等�。
結(jié)語:但凡因漏洞而導(dǎo)致的問題,通常都伴隨著對一些問題的疏忽��,或者是技術(shù)的疏忽�,或者是管理上的疏忽,簡言之就是自己出問題了�����。因此����,戰(zhàn)略上藐視而戰(zhàn)術(shù)上必須重視這些問題���,否則正所謂防不勝防���,而最致命、最難防的還是自己的疏忽����。
沒有無漏洞的系統(tǒng),也沒有無漏洞的網(wǎng)絡(luò)����,天下無賊只是一種理想的境界����,因此時時將信息安全放于心中��,放到實際行動當(dāng)中��,找尋到最佳的解決方案才可能將危險降到最低�,甚至杜絕這種危險。
果.jpg)