|
|
事件回放:刘先生是浙江某市劳动保障局的计算机中心负责人,在此前机构内部的一次巡检中发现,企业内部的党案资料库日志访问不正常,怀疑被黑客入侵。在对所有环节逐一清理之后,刘先生觉得应该万无一失了。
然而遗憾的是,事隔三天后,黑客再一次成功入侵了局里的Web服务器,并且在服务器内直接新建了“你们网站有漏洞请修改”字样的文件夹。另刘先生哭笑不得的是,虽然这个黑客并没有采取破坏措施,但他百思不得其解,黑客究竟是怎么进来的。
此事件在安全圈内十分有名,因为它代表了另一大类Web攻击的典型模式。这件事表明,除了静态页面架构外,基于动态页面架构的网站也在频频遭遇袭击。对此,Wedge Networks全球CEO张鸿文博士在接受记者采访时透露,全球90%以上的网站采用动态架构。即便是在政府机关,这个比例也达到70%以上。所以,本案中刘先生有70%的几率无法简单的通过部署网页防篡改系统进行防御。
记者发现,常见的政务网站功能不外乎信息发布和网上办事两个大块功能,而网上办事将会涉及到与使用者的信息交互。如果网站的开发人员没有对这些信息交互做过滤和限制,就有可能造成安全隐患。Web应用威胁中最著名的SQL注入攻击,就是由此而产生的。据OWASP(开放式Web应用程序安全项目组织)的统计,SQL注入作为最严重的Web威胁行为之一,几乎60%以上的Web安全事件与之有关。
据介绍,SQL注入就是指利用页面代码编写不完备,将恶意的SQL命令注入到后台数据库引擎执行中去。SQL注入利用的是正常的HTTP服务端口,表面上看来和正常的Web访问没有区别,隐蔽性极强,不易被发现。
利用SQL注入攻击,黑客可以实现在未经授权状况下操作数据库中的数据,可以轻易篡改网页内容,包括私自添加系统账号或者是数据库使用者账号,甚至直接实施网页挂马攻击。
更要命的是,美国《Network World》有过报道,由于SQL注入攻击门槛很低,网络上有大量的免费SQL注入攻击软件,如:pangolin、NBSI、HDSI等。不过万卿表示,利用这些软件的黑客很有可能并不知道该如何清理自己留下的系统日志,企业的IT经理可以从对日志的分析中,看到是否有SQL注入行为发生。
对于日志的安全分析,来自新华保险的IT经理杜大军有着自己的绝招,他说:“企业的网管可以在日志中检索“ and ”(空格and空格),或者是“‘”(半角单引号)等关键字符,如果发现有类似[id=21 and 1=1]的字符串,则基本可以判断遭受SQL注入的扫描或攻击。当然,这需要企业的网管具备一定的技术能力。另外,有条件的企业还可以借助购买专业安全公司的安全服务来实现。”
总的来看,SQL注入的发生原因是由于页面文件编写的不完备,所以最直接和有效的方法就是代码级的页面文件修改。不过这要求企业的IT经理必须知道在哪些地方代码过滤不严谨,一般来说未受过安全培训的网站开发人员,很难彻底发现这些存在的漏洞。
另外,虽然代码级页面修改是最直接和有效的方法,但一般来说代码级修改需要较长的检查和修补时间,同时可能会涉及到在线试运行验证效果,所以在实际应用中较少采用。采用的较多的是检测+防护+响应的手段(PDR模型)。
对此万卿的看法是,一提到检测、防护,很多人就会想起安全界著名的PDR模型(防护Prevention、检测Detection、响应Response)。在Web威胁防护中,可以采用这一模型作为指导思想,通过检测发现问题,通过防护解决问题,通过响应避免扩散问题。比如利用网站安全检查服务,找出网站是否存在以及在哪出现问题,通过部署安全产品,实时封堵针对漏洞的攻击行为,通过应急响应等安全服务,对出现了的安全问题进行及时响应。 |
|
发表于 2009-7-23 08:31:44