一個被命名為LizaMoon的（SQL Injection）SQL注入攻擊席卷全球，許多網(wǎng)站遭受攻擊，網(wǎng)頁內(nèi)容中被塞了lizamoon字串，疑似掛馬鏈接，透過Google查詢 lizamoon. com關(guān)鍵詞，被稙入惡意鏈接的URL數(shù)在兩天內(nèi)由28,000個急速增加到380,000個，甚至蘋果的iTune網(wǎng)站也名列其中……

對此，穩(wěn)捷網(wǎng)絡(luò)公司大中國區(qū)總經(jīng)理彭朝暉先生表示，穩(wěn)捷網(wǎng)絡(luò)公司一直關(guān)注類似的SQL注入與黑客攻擊事件。此次LizaMoon攻擊利用了一個很巧妙的SQL注入，導(dǎo)致全球5萬中文網(wǎng)頁被感染。

彭朝暉先生表示：“這種攻擊并非全新手段，10年前就出現(xiàn)過，當(dāng)時很多安全專家都熱烈討論過。從本世紀(jì)初的流行，到現(xiàn)在變成主要威脅，主要原因是安全從網(wǎng)絡(luò)轉(zhuǎn)向應(yīng)用。”

5年前，廣大用戶關(guān)注的安全焦點(diǎn)在網(wǎng)絡(luò)層，IPS、IDS、FW、VPN等，當(dāng)時強(qiáng)調(diào)的都是數(shù)據(jù)傳輸?shù)倪^程中不要被竊取、非法使用、有漏洞，都是網(wǎng)絡(luò)層安全，以致后來都變成了各色標(biāo)準(zhǔn)的方案，被廣大用戶熟知。

但是這次事件發(fā)現(xiàn)，很多黑客都不走網(wǎng)絡(luò)底層了，更多更嚴(yán)重的威脅都是從應(yīng)用層來的。應(yīng)用層攻擊已經(jīng)成為網(wǎng)絡(luò)安全的主要威脅。不幸的是，這么多網(wǎng)頁被感染，說明客戶對來自應(yīng)用層威脅防范意識還是很弱，建設(shè)網(wǎng)絡(luò)還是過分強(qiáng)調(diào)網(wǎng)絡(luò)層措施，對應(yīng)用層措施不是沒有意識到，或者就是不知道相應(yīng)的防御方法。

另外，彭朝暉先生強(qiáng)調(diào)說：“現(xiàn)有的應(yīng)用層防護(hù)手段還很薄弱，大部分黑客的入侵都是從應(yīng)用層入侵，這次也是非常的典型，傳統(tǒng)的基于網(wǎng)絡(luò)層的防范手段都不管用了，而一些應(yīng)用層終端保護(hù)軟件也力不從心。”

在此很多安全專家表示，國際上OWSAP（Web安全聯(lián)盟）的報告指出，當(dāng)前SQL注入的危害非常嚴(yán)重的。在OWASP前十大Web應(yīng)用攻擊中，SQL排第一位，占了30%的量。第二是跨站腳本攻擊，第三是截取會話，第四是不安全會話的引用。比如調(diào)用一個腳本或者Cookie，這些調(diào)用可以被某些權(quán)限的人偵測到，導(dǎo)致被非法濫用操作。換言之，應(yīng)用層攻擊方式很容易實(shí)現(xiàn)，很多工具被設(shè)計為發(fā)現(xiàn)網(wǎng)站漏洞，但也可以被黑客濫用去非法掃描用戶網(wǎng)站。來自應(yīng)用層的攻擊比來自底層的更加復(fù)雜，而且更加隱蔽。

根據(jù)OWSAP的報告，目前傳統(tǒng)的高端防火墻設(shè)備以及一些高端UTM設(shè)備，仍舊沒有辦法去防御這些新型的應(yīng)用層威脅。這些設(shè)備原理上還是四層以下的設(shè)備，其根基還是基于數(shù)據(jù)包的分析與監(jiān)測。

為此，穩(wěn)捷網(wǎng)絡(luò)公司大中國區(qū)市場經(jīng)理趙曉濤先生表示，穩(wěn)捷網(wǎng)絡(luò)公司一直堅持只有專業(yè)的Web安全網(wǎng)關(guān)才能針對應(yīng)用層做到有針對性的防御，保證用戶網(wǎng)絡(luò)流量的干凈與價值。事實(shí)上，穩(wěn)捷網(wǎng)絡(luò)公司BeSecure Web安全網(wǎng)關(guān)可以做到基于七層的深度內(nèi)容監(jiān)測，確保用戶的應(yīng)用安全。

“以前總說安全是專業(yè)人士的范疇，但是此次事件不光針對企業(yè)網(wǎng)站，而且針對千萬的普通網(wǎng)民。”趙曉濤先生如是說。

對于SQL注入攻擊的防護(hù)，穩(wěn)捷網(wǎng)絡(luò)公司提出了三大建議：第一，編程人員需要在開發(fā)之初就考慮到相應(yīng)的安全漏洞防護(hù)與規(guī)則，把不安全的編碼習(xí)慣屏蔽掉；第二，還需要配合應(yīng)用層安全的設(shè)備去防護(hù)。比如通過WAF（Web應(yīng)用防火墻）中的規(guī)則數(shù)據(jù)庫，通過比對SQL注入的方式去阻擋；第三，盡快部署Web安全網(wǎng)關(guān)。因?yàn)閃AF目前暴露出了很多自己的問題，比如規(guī)則嚴(yán)格就會出現(xiàn)大量的誤判誤殺，導(dǎo)致很多正常用戶的訪問不成功，或者導(dǎo)致大量的漏判。一些攻擊通過換一種規(guī)則，比如這次事件就是，WAF仍然毫無辦法。因此還必須加上專業(yè)的Web安全網(wǎng)關(guān)去保護(hù)。

Web安全網(wǎng)關(guān)的防護(hù)是從應(yīng)用的角度出發(fā)的。比如這次事件，LizaMoon剛注入進(jìn)去的時候沒有危害，只要注入進(jìn)去的網(wǎng)頁不被點(diǎn)開就不會發(fā)作。當(dāng)前SQL注入的特點(diǎn)就是向外聯(lián)接惡意站點(diǎn)或外泄數(shù)據(jù)而非法牟利。換言之，總會有一個IP請求發(fā)生，而Web安全網(wǎng)關(guān)就是阻止其后續(xù)的危害操作行為的發(fā)生。

這樣一來，即便網(wǎng)站被掛馬，Web安全網(wǎng)關(guān)一樣可以阻止被掛馬網(wǎng)站中惡意行為的發(fā)生，惡意數(shù)據(jù)流也出不去，而這是普通應(yīng)用層防護(hù)設(shè)備做不到的。毫無疑問，在三層體系之下，網(wǎng)站的應(yīng)用層安全就可以萬無一失。

【編輯推薦】

1. 名為LizaMoon的SQL注入攻擊正在席卷全球
2. MySQL.com被SQL注入攻擊 用戶密碼數(shù)據(jù)被公布
3. 穩(wěn)捷網(wǎng)絡(luò)首發(fā)萬兆深度內(nèi)容檢測Web安全網(wǎng)關(guān)的描述
4. SQL注入攻擊三部曲之高級篇
5. SQL注入攻擊三部曲之進(jìn)階篇