如何检测SQL注入技术以及跨站脚本攻击

  在最近两年中,安全专家应该对网络应用层的攻击更加重视。因为无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制,如果你的网络应用程序开发者没有遵循安全代码进行开发,攻击者将通过80端口进入你的系统。广泛被使用的两个主要攻击技术是SQL注入[ref1]和CSS[ref2]攻击。SQL 注入是指:通过互联网的输入区域,插入SQLmeta-characters(特殊字符代表一些数据)和指令,操纵执行后端的SQL查询的技术。这些攻击主要针对其他组织的WEB服务器。CSS攻击通过在URL里插入script标签,然后诱导信任它们的用户点击它们,确保恶意Javascript代码在受害人的机器上运行。这些攻击利用了用户和服务器之间的信任关系,事实上服务器没有对输入、输出进行检测,从而未拒绝javascript代码。

  这篇文章讨论SQL注入和CSS攻击漏洞的检测技术。网上已经有很多关于这两种基于WEB攻击的讨论,比如如何实施攻击,他们的影响,怎样更好的编制和设计程序防止这些攻击。然而,对如何检测这些攻击并没有足够的讨论。我们采用流行的开源的IDSSnort[ref3],组建根据检测这些攻击的规则的正则表达式。附带,Snort默认规则设定包含检测CSS的方法,但是这些容易被避开检测。比如大多通过hex进制编码,如%3C%73%63%72%69 %70%74%3E代替避开检测。

  依赖levelofparanoia组织的能力,我们已经编写了多种检测相同攻击的规则。如果你希望检测各种可能的SQL注入攻击,那么你需要简单的留意任何现行的SQLmeta-characters,如单引号,分号和双重破折号。同样的一个极端检测CSS攻击的方法,只要简单地提防HTML标记的角括号。但这样会检测出很多错误。为了避免这些,这些规则需要修改使它检测更精确些,当仍然不能避免错误。

  在Snort规则中使用pcre(PerlCompatibleRegularExpressions)[ref4]关键字,每个规则可以带或不带其他规则动作。这些规则也可以被公用软件如grep(文档搜索工具)使用,来审阅网络服务器日志。但是,需要警惕的是,用户的输入只有当以GET提交请求时,WEB服务器才会记录日记,如果是以POST提交的请求在日记中是不会记录的。

  2.SQL注入的正则表示式

  当你为SQL注入攻击选择正则表示式的时候,重点要记住攻击者可以通过提交表单进行SQL注入,也可以通过Cookie区域。你的输入检测逻辑应该考虑用户组织的各类型输入(比如表单或Cookie信息)。并且如果你发现许多警告来自一个规则,请留意单引号或者是分号,也许些字符是你的Web应用程序创造的合法的在CookieS中的输入。因此,您需要根据你的特殊的WEB应用程序评估每个规则。

  依照前面提到,一个琐细的检测SQL射入攻击的正则表达式要留意SQL特殊的meta-characters譬如单引号(’)双重扩则号(--),为了查出这些字符和他们hex等值数,以下正则表达式适用:

  2.1检测SQLmeta-characters的正则表达式

  /(%27)|(’)|(--)|(%23)|(#)/ix

  解释:

  我们首先检查单引号等值的hex,单引号本身或者双重扩折号。这些是MSSQLServer或Oracle的字符,表示后边的为评论,随后的都将被忽略。另外,如果你使用MySQL,你需要留意’#’和它等值的hex的出现。注意我们不需要检查双重破折号等值的hex,因为这不是HTMLmeta- character,浏览器不会进行编码。并且,如果攻击者设法手工修改双重破折号为它的hex值%2D(使用代理像 Achilles[ref5]),SQL注入将失败。

  加入上述正则表达式的新的Snort规则如下:

   alerttcp$EXTERNAL_NETany->$HTTP_SERVERS$HTTP_PORTS(msg:"SQLInjection-Paranoid";flow:to_server,established;uricontent:".pl";pcre:"/(%27)|(’)|(--)|(%23)|(#)/i";classtype:Web-application-attack;sid:9099;rev:5;)

  在本篇讨论中,uricontent关键字的值为".pl",因为在我们的测试环境里,CGI程序是用Perl写的。uricontent关键字的值取决于您的特殊应用,这个值也许是".php",或".asp",或".jsp",等。从这点考虑,我们不显示对应的Snort规则,但是我们会给出创造这些规则的正则表达式。通过这些正则表达式你可以很简单的创造很多的Snort规则.在前面的正则表达式里,我们检测双重破折号是因为:即便没有单引号的存在那里也可能是SQL射入点[ref6]。例如,SQL查询条目只包含数值,如下:

  selectvalue1,value2,num_value3fromdatabase

  wherenum_value3=some_user_supplied_number

  这种情况,攻击者可以执行额外的SQL查询,示范提交如下输入:

  3;insertvaluesintosome_other_table

  最后,pcre的修饰符’i’和’x’是用于分别匹配大小写和忽略空白处的。上面的规则也可以另外扩展来检查分号的存在。然而,分号很可以是正常HTTP应答的一部分。为了减少这种错误,也是为了任何正常的单引号和双重扩折号的出

  现,上面的规则应该被修改成先检测=号的存。用户输入会响应一个GET或POST请求,一般输入提交如下:

  username=some_user_supplied_value&password=some_user_supplied_value

  因此,SQL注入尝试将导致用户的输入出现在a=号或它等效的hex值之后。

  2.2修正检测SQLmeta-characters的正则表达式

  /((%3D)|(=))[^n]*((%27)|(’)|(--)|(%3B)|(:))/i

(0)

相关推荐

  • SQL 注入技术详解

    1.1概述 1.2背景 1.3字符编码 2.1综合测试 2.2测试过程 2.3分析结果 3.1绕过验证 3.2 SELECT 3.2.1 直接利用 ' 号 3.2.2 基于UNION 3.2.3 利用 ...

  • SQL注入攻击的方法有哪些

    据权威专家同居分析,绝大多数的网站遭受攻击都是SQl注入攻击,绝大多数的网站攻击都是可以避免的,不过由于大多数人的疏忽,造成好多网站都莫名其妙的"悲剧"了,这里小编帮大家洗漱一下s ...

  • PHP防SQL注入检测方法

    PHP防SQL注入检测方法 操作方法 01 <?php$referer  = $_SERVER['HTTP_REFERER'];$inpage   = $_SERVER['SCRIPT_NAME ...

  • 网站被sql注入的修复方法

    近日,网站频频被黑.在网站里莫名其妙的多出一篇文 章,还有多出一组贴图.正在纳闷是谁可以登陆我的后台发表文章和图片的时候,我的qq弹出消息,一个陌生人给我发消息,说我的网站有漏洞,还说是他弄了我 的网 ...

  • Win10创造者15002中浏览器支持CSP2 严防跨站脚本攻击

    微软在Win10创造者更新15002预览版中的Edge浏览器增加了新的安全功能,那就是内容安全策略第二级别(CSP2).微软表示该技术的支持将让Edge浏览器成为最安全.最难攻破的浏览器(貌似涉嫌非法 ...

  • 什么是sql注入漏洞?

    介绍一下什么是sql注入漏洞? 操作方法 01 解释起来有点困难,我们直接用实际案例演示吧. 首先,我们用Sql server 创建一个geek的数据库. 再创建一个"表_登录" ...

  • ASP.NET优化:Sql注入和Html注入的黑帽SEO

    黑帽(black hat)SEO主要是指采取"不怎么道德"(暂时就这么形容吧!)的方式进行搜索引擎优化. 步骤/方法 01 注入攻击,包括Sql注入和Html注入.我经常能看到对S ...

  • 防护黑客必学招数 SQL注入拦截-MYIIS-VIF助你一臂之力

    首先,MYIIS-VIF为站长提供了2种方式的注入设置。 1. 全局自动SQL注入拦截。 2. 自己加入规则的拦截方式。 全局自动SQl注入拦截类似自己给用户添加了一些常用的SQL注入关键字拦截。这些 ...

  • 防止sql注入的几种方法

    在我们的项目开发中,常常面临的问题就是sql的注入,脚本攻击,如何才能使系统的代码更加的健壮,防止sql的注入呢,本文将介绍几种方法来防止sql的注入. 操作方法 01 JBDC方式查询,我们可以利用 ...