长亭科技陈宇森.PDFVIP

永别了 SQL 注入 长亭科技 陈宇森 SQL 注入攻击是？ • SQL注入（SQL injection），是发生于应用 程序数据库层的安全漏洞。 简而言之，是在输入的字 符串之中注入SQL指令， 在设计不良的程序当中忽 略了检查，那么这些注入 进去的指令就会被数据库 服务器误认为是正常的SQL 指令而运行，使得服务器 遭到破坏或是入侵。 SQL 注入攻击的危害 • 数据库信息泄漏 • 数据库被恶意操作 • 服务器被入侵 SQL 注入攻击的危害范围 • wooyun 平台一共有 61201 条漏洞记录，与 SQL 注入相关的有 19250 条记录 • 多年上榜OWASP TOP 10 • 我们目前的客户没有一家没有 SQL 注入漏洞 SQL 注入防范点 • 开发阶段的安全编码 • 应用和数据库的中间层 • 网络应用防火墙（WAF） 问题背景和现有方法 • libdejector • BlackHat 2005, Hansen and Patterson • 定义了一个安全的 SQL subset 作为标准 • 在 SQL context 中判断是否是合法输入 • 对环境要求极高 问题背景和现有方法 • 基于规则的系统：开源的ModSecurity, 各家硬 件WAF ，云WAF等 • 使用最普遍，最简单，在忽视误报率的情况 下，漏报率可以做到一个比较低的水平 • 更新慢，反应慢，人工规则容易出错 • 很容易绕过，无法针对应用 问题背景和现有方法 • libinjection • BlackHat 2012 ，提出的新思路 • 将输入进行 SQL 词法分析 • 对词法分析结果进行归类和合并，使用 85000 条数据进行训练 • 思路很好，可惜误报太高，太工程化处理， 总体结果很乱 问题的复杂性 • 从用户输入中检测 SQLi 是一个很难的问题 • SQL 本身是图灵完全的，也就是说可以在 SQL中实现任意算法 • 1992 SQL 规范: 625 页文本 • 多种实现 MYSQL, Oracle SQL, MS SQL, PostgreSQL等等。 问题的复杂性 • SQL 的多样性和复杂性比想象中多得多 • 没有一家 SQL 完整实现 SQL 规范 • 各种不同的扩展 ，语法，规则，甚至 bugs • 递归注释，数字、字符串都不能用正则完整 表达 问题的复杂性 • BlackHat 2005, Hanson 和 Pattersn 从理论 上证明了，任何基于正则的输入验证系统，都 存在以下两个情况至少有一个为真 • 可以构造一个安全的正常请求，但是被验证 系统标记为危险/不正常 • 可以构造一个不正常的攻击请求，但是验证 系统标记为正常请求 测试集 • 测试集的数据来自真实互联网流量，从约 5000 万条网站流量数据选取 •