撰写一组SNORT规则防御SQL注入WEB安全电脑资料.docVIP

撰写一组SNORT规则防御SQL注入WEB安全电脑资料 1 ．文档概述 本文档详细阐述了 SQL 注入规则集合的设计过程和理论依据，并对每一类规则的检测原理和修正过程进行了相关的分析， 2 ．规则部署要求 适用于包含 SNORT 2.3 及以上版本检测引擎 。 3 ．规则详细设计 3.1. 对 select+union+select 利用的检测 SELECT+union 用于利用现有脚本的 SQL 语句，对数据库其他表进行窥探和暴表。攻击的原理是：首先利用歧义 SQL （ or 11 之类）安全避过脚本中原有的 SQL ，然后利用 UNION+SQLECT 构造第二段 SQL 。构造的难度在于猜测需要窥探表的字段个数和类型。当个数和类型都符合的的时候，一般可以在正常页面实现暴表。因为系统表一般存有非常重要的信息，所以这种攻击一旦成功，基本可以认为系统安全已经崩溃。考察正常的探测情况，攻击者一般构造形如 127.0.0.1/rule_manage_system/code/edit_rule.php?sid=1430%20and%2011%20%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21%20from%20admin 的 URL ，这种攻击利用，空格＋ union 是都有的特征；其次， 2 次 SQL 语句中的 select ，最后是 2 次 sql 末尾的 from 。另外？号和＝号也是必不可少的特征。在 URL 中按照先后次序应该是：？＝ union select ，基本可以认定为 SQL 注入攻击。 规则设计： 首先正则表达式为： /(\%3D|=)+((\S|\s))+((\%75)|u|U|(\%55))((\%6E)|n|N|(\%4E))((\%69)|i|I|(\%49))((\%6F)|o|O|(\%4F))((\%6E)|n|n|(\%4E))((%20)|(\w+)|\S|\s)+((\%73)|s|S|(\%53))((\%65)|e|E|(\%45))((\%6C)|l|L|(\%4C))((\%65)|e|E|(\%45))((\%63)|c|C|(\%43))((\%74)|t|T|(\%54))/ix 解释 : \w - 零个或多个字符或者下划线。 正则表达式首先检测是否有 URL 的＝号，这是有参数 URL 的首要特征；其次检测＝号后有没有 UNION 的大写、小写或者 16 进制代码的组合；随后，检测 UNION1 个或多个其他字符；最后检测 UNION 后的 URL 中是否含有 SELECT 的大写、小写或者 16 进制代码的组合；这种关键字的检测组合，是任何 UNION ＋ SELECT 借用的最基本特征。 在 URL 中参数提交一般为 xxx.asp?a=xxx ，为了提高效率和准确率，故而在规则中增加检测？修正后的完整规则是： 1) alert tcp $EXTERNAL_NET any - $_SERVERS $_PORTS (msg: 检测到 SQL 注入攻击特征字符 ; flow:to_server,established;uricontent:?; pcre: /(\%3D|=)+((\S|\s))+((\%75)|u|U|(\%55))((\%6E)|n|N|(\%4E))((\%69)|i|I|(\%49))((\%6F)|o|O|(\%4F))((\%6E)|n|n|(\%4E))((%20)|(\w+)|\S|\s)+((\%73)|s|S|(\%53))((\%65)|e|E|(\%45))((\%6C)|l|L|(\%4C))((\%65)|e|E|(\%45))((\%63)|c|C|(\%43))((\%74)|t|T|(\%54))/ix;nocase; sid:10114; rev:1;) 3.2. 对 select+load_file （）利用的检测 SELECT+LOAD_FILE 用于利用现有脚本的 SQL 语句，对系统重要文件窥探和暴露。攻击的原理是：首先利用歧义 SQL （ or 11 之类）安全避过脚本中原有的 SQL ，然后利用 UNION+LOADFILE() 构造第二段 SQL 。构造的难度在于猜测需要窥探表的字段个数和类型。当个数和类型都符合的的时候，一般可以在正常页面实现重要文件