SQL注入攻击检测.pdfVIP

SQL注入攻击检测 科来软件 网站： 1 SQL注入简介 SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应 用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是 由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码 的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全 隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得 某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 2 故障背景 某单位外网网络出口部署有科来网络回溯分析系统，在某一天突然接到 客户反映，系统出现了大量的SQL注入攻击警报，警报数量达4万多条。 如此大量的SQL注入警报，客户怀疑设备出现误报，要求马上给予确认。 3 流量分析 通过警报日志，发现进行SQL注入攻击的IP地址为172.16.251.XX，而被 攻击的IP为172.16.0.XX。通过挖掘，发现这两个IP地址进行了大量的 HTTP会话通讯。如图： 4 流量分析 下载两个IP的会话数据，通过数据包解码分析，发现在HTTP会话的 cookie字段中存在明显的SQL注入攻击特征。如图： 5 流量分析 HTTP会话的Cookie字段: JSESSIONID=@10b640:140a784429b;order- by=%)%20anD%2053%3D53%20anD%20%%3D。其中%20 = 空格，%3D = ‘=’，由此可知“%20anD%2053%3D53”即为“ anD 53 = 53”，完全 符合SQL注入的检测特征。 6 分析结论 根据分析验证，针对WEB服务器的HTTP会话确实存在SQL注入特征，造成 这种现象的原因有两点： 1. WEB服务器真的遭受到SQL注入攻击； 2. cookie里有这样的信息如果不是攻击，很有可能是开发人员偷懒， 希望用cookie来保存一些查询或排序条件。切换页面时仍能带上这 些条件，从而导致符合了SQL注入的特征。 总的来讲，SQL注入攻击还是因为WEB服务的架构设计存在缺陷，因此建 议开发人员进行确认并改善。 7 谢谢 科来软件 电话：86-28 传真：86-28 网站： 8