Winodws平台下WEB服务器部署SQL注入防御体系Winodws平台下WEB服务器部署SQL注入防御体系.doc

Winodws平台下WEB服务器部署SQL注入防御网络攻击的发展趋势是逐渐转向高层应用。根据Gartner的分析，目前对网络的攻击有70%以上是集中在应用层，并且这一数字呈上升趋势。应用层的攻击有可能会造成非常严重的后果，比如用户帐号丢失和公司机密泄漏等。因此，对具体应用的有效保护就显得越发重要。而IPS作为应用层的重要安全防护工具能够对网络起到较好的实时防护作用。本专题就将为您展现IPS的另一面防护技术。 随着B/S模式被广泛的应用，用这种模式编写应用程序的程序员也越来越多，但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息（如Cookie）进行必要的合法性判断，导致了攻击者可以提交一段数据库查询代码，根据程序返回的结果，获得一些他想得到的数据。 据赛门铁克2006年3月的互联网安全威胁报告（第九期）显示： 目前有近70%的攻击行为是基于WEB应用，而据CVE的2006年度统计数据显示，SQL注入攻击漏洞呈逐年上升的状态，2006年更是达到了惊人的1078个，而这些还仅限于通用应用程序的漏洞，不包括更为庞大的专业web应用程序所存在的漏洞。而针对SQL注入漏洞的各种攻击工具和攻击教程更是层出不穷，掌握1~2种攻击工具的script guy（脚本小子）就可以轻易的攻破网络数据库的防线：篡改数据、获得权限……　　 如上图所示，SQL注入攻击过程分为五个步骤： 第一步：判断Web环境是否可以SQL注入。如果URL仅是对网页的访问，不存在SQL注入问题，如：/162414739931.shtml就是普通的网页访问。只有对数据库进行动态查询的业务才可能存在SQL注入，如：/webhp?id＝39，其中?id＝39表示数据库查询变量，这种语句会在数据库中执行，因此可能会给数据库带来威胁。 第二步：寻找SQL注入点。完成上一步的片断后，就要寻找可利用的注入漏洞，通过输入一些特殊语句，可以根据浏览器返回信息，判断数据库类型，从而构建数据库查询语句找到注入点。 第三步：猜解用户名和密码。数据库中存放的表名、字段名都是有规律可言的。通过构建特殊数据库语句在数据库中依次查找表名、字段名、用户名和密码的长度，以及内容。这个猜测过程可以通过网上大量注入工具快速实现，并借助破解网站轻易破译用户密码。 第四步：寻找WEB管理后台入口。通常WEB后台管理的界面不面向普通用户 开放，要寻找到后台的登陆路径，可以利用扫描工具快速有哪些信誉好的足球投注网站到可能的登陆地址，依次进行尝试，就可以试出管理台的入口地址。 第五步：入侵和破坏。成功登陆后台管理后，接下来就可以任意进行破坏行为，如篡改网页、上传木马、修改、泄漏用户信息等，并进一步入侵数据库服务器。 SQL注入攻击的特点: 变种极多，有经验的攻击者会手动调整攻击参数，致使攻击数据的变种是不可枚举的，这导致传统的特征匹配检测方法仅能识别相当少的攻击，难以防范。 攻击过程简单，目前互联网上流行众多的SQL注入攻击工具，攻击者借助这些工具可很快对目标WEB系统实施攻击和破坏。 危害大，由于WEB编程语言自身的缺陷以及具有安全编程能力的开发人员少之又少，大多数WEB业务系统均具有被SQL注入攻击的可能。而攻击者一旦攻击成功，可以对控制整个WEB业务系统，对数据做任意的修改，破坏力达到及至。 SQL注入的主要危害包括 未经授权状况下操作数据库中的数据、恶意篡改网页内容、私自添加系统帐号或者是数据库使用者帐号、网页挂木马 SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。 防御SQL注入妙法 第一步：下载SQL通用防注入系统的程序，在需要防范注入的页面头部用!--# include file=”xxx.asp”-- 来防止别人进行手动注入测试。 可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点，然后只需几秒钟，你的管理员帐号及密码就会被分析出来。 第二步：对于注入分析器的防范，笔者通过实验，发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中，发现软件并不是冲着“admin”管理员帐号去的，而是冲着权限（如flag=1）去的。这样一来，无论你的管理员帐号怎么变都无法逃过检测。 第三步：既然无法逃过检测，那我们就做两个帐号，一个是普通的管理员帐号，一个是防注入的帐号。为什么这么说呢？笔者想，如果找一个权限最大的帐号制造假象，吸引软件的检测，而这个帐号里的内容是