什么是SQL注入?

SQL注入：利用現(xiàn)有應(yīng)用程序，將(惡意)的SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力，這是SQL注入的標(biāo)準(zhǔn)釋義。

隨著B/S模式被廣泛的應(yīng)用，用這種模式編寫應(yīng)用程序的程序員也越來(lái)越多，但由于開發(fā)人員的水平和經(jīng)驗(yàn)參差不齊，相當(dāng)一部分的開發(fā)人員在編寫代碼的時(shí)候，沒(méi)有對(duì)用戶的輸入數(shù)據(jù)或者是頁(yè)面中所攜帶的信息(如Cookie)進(jìn)行必要的合法性判斷，導(dǎo)致了攻擊者可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得一些他想得到的數(shù)據(jù)。

SQL注入利用的是正常的HTTP服務(wù)端口，表面上看來(lái)和正常的web訪問(wèn)沒(méi)有區(qū)別，隱蔽性極強(qiáng)，不易被發(fā)現(xiàn)。

SQL注入的危害和現(xiàn)狀

SQL注入的主要危害包括：

◆未經(jīng)授權(quán)狀況下操作數(shù)據(jù)庫(kù)中的數(shù)據(jù)

◆ 惡意篡改網(wǎng)頁(yè)內(nèi)容

◆私自添加系統(tǒng)帳號(hào)或者是數(shù)據(jù)庫(kù)使用者帳號(hào)

◆ 網(wǎng)頁(yè)掛木馬

……

SQL注入防御

SQL注入的學(xué)術(shù)界研究成果

基于正常行為模型的AMNESIA

該算法的核心思想是通過(guò)事前找到源碼中所有動(dòng)態(tài)SQL語(yǔ)句的構(gòu)造點(diǎn)，并為這些SQL語(yǔ)句建立自動(dòng)機(jī)模型(Profiler)。在程序運(yùn)行時(shí)監(jiān)控提交的SQL語(yǔ)句是否滿足Profiler，如果滿足則是正常的操作，否則，就認(rèn)為發(fā)生了SQL注入攻擊。

這種分析方法需要能夠獲得應(yīng)用程序的源代碼，并且需要修改源代碼，是一種侵入性的模型(源代碼補(bǔ)丁方式)。其實(shí)現(xiàn)過(guò)程如下圖所示：

基于數(shù)字簽名技術(shù)的SQLRand

該算法的主要思想是：對(duì)源代碼中包含動(dòng)態(tài)SQL語(yǔ)句的模版中的關(guān)鍵字進(jìn)行隨機(jī)化編碼處理，這些編碼規(guī)則黑客無(wú)法預(yù)知。運(yùn)行時(shí)，對(duì)隨機(jī)化編碼之后的SQL命令進(jìn)行解碼，如果解碼失敗則表示遭受到了SQL注入攻擊。

如一個(gè)正常的SQL語(yǔ)句：select * from users where name = %name

其中的select / from / where都是我們所說(shuō)的關(guān)鍵字，所有SQL語(yǔ)句在提交web server時(shí)，都將進(jìn)行隨機(jī)化的編碼，一個(gè)可能的SQL注入語(yǔ)句經(jīng)過(guò)隨機(jī)化編碼后可能是：select123 * from123 users where123 name = ‘Mike’ OR 1=1，(標(biāo)紅的部分是攻擊者提交的構(gòu)造代碼)，由于OR 1=1是攻擊者構(gòu)造的數(shù)據(jù)，不會(huì)經(jīng)過(guò)系統(tǒng)自身隨機(jī)化的編碼，所以待提交數(shù)據(jù)庫(kù)的前置proxy進(jìn)行解析時(shí)，對(duì)OR這個(gè)關(guān)鍵字將得不到正常結(jié)果，由此可以判斷攻擊發(fā)生。

這種方法的缺點(diǎn)和上面的一樣，都是基于源碼級(jí)別的修改，需要擁有和修改程序的源代碼，是一種侵入式的解決方案，并且從上面的架構(gòu)圖中我們可以看到，這種解決方案的部署較為復(fù)雜。

SQL注入的產(chǎn)業(yè)界研究成果

基于Signature的關(guān)鍵字匹配技術(shù)

這是一種在產(chǎn)業(yè)界常見的解決方案，著名的免費(fèi)軟件SNORT就是采用的這種解決方案。該方案的技術(shù)出現(xiàn)點(diǎn)是：首先抽取SQL注入過(guò)程中都會(huì)出現(xiàn)的特殊字符(例如:’ – #等)，抽取SQL注入過(guò)程經(jīng)常會(huì)出現(xiàn)的SQL關(guān)鍵字(例如:’SELECT、UNION等)作為檢測(cè)SQL注入的依據(jù)。利用上述步驟中提取的特征構(gòu)建SQL注入特征庫(kù)，通過(guò)傳統(tǒng)的模式匹配的方式進(jìn)行檢測(cè)。

一個(gè)典型的snort規(guī)則：

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS

$HTTP_PORTS ( msg:"SQL Injection Paranoid"; flow:to_server,established;uricontent:".pl";pcre:"/(\%27)|(\’)|(\-\-)|(%23)|(#)/i"; classtype:Web-application-attack; sid:9099; rev:5;)

中間標(biāo)紅的字段就是檢測(cè)數(shù)據(jù)包中是否含有\(zhòng) - --等特殊字符。以此來(lái)判斷是否產(chǎn)生了SQL注入攻擊。

很顯然這種方法有著極高的漏報(bào)和誤報(bào)率，比如在USER字段提交Select，將會(huì)被認(rèn)作攻擊行為。并且做了編碼轉(zhuǎn)換或函數(shù)轉(zhuǎn)換或者是關(guān)鍵字跨域之后，攻擊者很容易躲避機(jī)械地匹配字符串方式的檢測(cè)。

基于異常檢測(cè)技術(shù)的Web-FireWall

WEB-FireWall是由IMPERVA公司提供的SQL檢測(cè)產(chǎn)品，其核心思想是通過(guò)學(xué)習(xí)期的訓(xùn)練，為Web應(yīng)用程序自動(dòng)建立各參數(shù)的正常使用模型(URL/COOKIE)。在此后的檢測(cè)過(guò)程中依據(jù)此模型來(lái)判斷實(shí)際網(wǎng)絡(luò)中的各種行為是否異常。

這種方法的優(yōu)勢(shì)在于能夠不受限制的發(fā)現(xiàn)各種異常行為。但異常并不意味著攻擊，其誤報(bào)率相對(duì)來(lái)說(shuō)較高。而且由于需要一個(gè)學(xué)習(xí)期間，在此期間需要一個(gè)非常“干凈”的數(shù)據(jù)來(lái)訓(xùn)練，而且一旦內(nèi)部的業(yè)務(wù)模型發(fā)生了變化，這個(gè)學(xué)習(xí)過(guò)程又需要重新進(jìn)行。

天清Web應(yīng)用安全網(wǎng)關(guān)系統(tǒng)中的SQL注入防御

啟明星辰公司自主研發(fā)的天清Web應(yīng)用安全網(wǎng)關(guān)系統(tǒng)，采用了專利技術(shù)的VSID(Venus SQL Injection Detection Algorithm )算法，對(duì)SQL注入攻擊有顯著的效果。

VSID算法是一種基于SQL注入攻擊手法的檢測(cè)算法，為各種SQL注入方法建立具備行為共性的檢測(cè)模型。使用輕型虛擬機(jī)預(yù)分析技術(shù)對(duì)提交的URL、Cookie、Post Form進(jìn)行進(jìn)一步分析，判斷這些提交信息中是否含有SQL注入攻擊的企圖。

其核心內(nèi)容是首先收集、分析各種可能的SQL注入攻擊方法，并提取出相應(yīng)的有針對(duì)性的攻擊機(jī)理。為這些SQL攻擊方法建立SQL注入檢測(cè)模型，所有的的這些檢測(cè)虛擬機(jī)模型，就叫做VSID算法誤用檢測(cè)模型。根據(jù)這些虛擬機(jī)檢測(cè)來(lái)自URL\COOKIE\ POST-Form中的各參數(shù)域值是否符合SQL注入模型，如果符合則表示發(fā)生了SQL注入攻擊。

上圖描述的就是天清Web應(yīng)用安全網(wǎng)關(guān)系統(tǒng)SQL注入檢測(cè)流程圖。

VSID算法是一種將規(guī)則分析(建立虛擬機(jī)檢測(cè)規(guī)則的過(guò)程)和異常分析(符合SQL注入模型的，就是SQL注入攻擊)相結(jié)合的技術(shù)，是天清Web應(yīng)用安全網(wǎng)關(guān)柔性化檢測(cè)的又一體現(xiàn)。

在漏報(bào)率和誤報(bào)率方面，都遠(yuǎn)低于現(xiàn)有產(chǎn)業(yè)界和學(xué)術(shù)界的研究成果，并且作為產(chǎn)品化了的技術(shù)，部署和實(shí)現(xiàn)方面也有其他方法所不能比擬的優(yōu)勢(shì)。

此外，我們還進(jìn)行了大量的SQL注入攻擊滲透測(cè)試(使用工具，滲透測(cè)試人員手動(dòng)攻擊)，天清Web應(yīng)用安全網(wǎng)關(guān)對(duì)絕大部分的SQL攻擊都可以實(shí)現(xiàn)實(shí)時(shí)的防御阻斷。另外，在和其他友商的對(duì)比競(jìng)測(cè)中，天清WAG也體現(xiàn)出了強(qiáng)大的優(yōu)勢(shì)。

綜論

SQL注入攻擊作為深層威脅的一種，已經(jīng)越來(lái)越多地受到用戶的關(guān)注，如何準(zhǔn)確、及時(shí)的判斷并防御這種危害極大的深層攻擊行為，是Web應(yīng)用安全網(wǎng)關(guān)責(zé)無(wú)旁貸的責(zé)任。這就要求Web應(yīng)用安全網(wǎng)關(guān)本身提供對(duì)這種無(wú)固定表現(xiàn)形式、種類繁多的攻擊行為的準(zhǔn)確檢測(cè)。

天清Web應(yīng)用安全網(wǎng)關(guān)依托于啟明星辰的強(qiáng)大入侵分析檢測(cè)能力，對(duì)各種深層的攻擊行為都有著優(yōu)異的檢測(cè)能力。特別的，對(duì)SQL注入這種攻擊行為，更采用了專利技術(shù)算法，是當(dāng)前對(duì)各種SQL注入變種/變形進(jìn)行精確防御達(dá)到國(guó)際先進(jìn)水平的入侵防御產(chǎn)品。