報(bào)告核心觀點(diǎn)
為了提高廣大用戶的安全意識(shí),國(guó)內(nèi)專業(yè)數(shù)據(jù)庫(kù)安全廠商安華金和�,綜合來(lái)自補(bǔ)天、烏云�、漏洞盒子等漏洞平臺(tái)高危數(shù)據(jù)安全漏洞,發(fā)布每日安全資訊���,數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室(DBSec Labs)以月為單位����,將數(shù)百個(gè)高危漏洞匯總��,形成分析報(bào)告�����,分享廣大用戶及合作伙伴。
10月報(bào)告核心觀點(diǎn)
格局不變�,SQL注入重回“王者”
白帽子“獨(dú)愛(ài)”政府,60個(gè)漏洞
10月常見(jiàn)數(shù)據(jù)泄露原因分析
從SQL角度防守SQL注入
報(bào)告正文
2015年10月�,安華每日安全資訊總結(jié)發(fā)布了154個(gè)數(shù)據(jù)泄密高危漏洞,這些漏洞分別來(lái)自烏云����、補(bǔ)天、漏洞盒子等平臺(tái)���,涉及8個(gè)行業(yè)�����,公司機(jī)構(gòu)、互聯(lián)網(wǎng)�、交通運(yùn)輸、教育�、金融保險(xiǎn)、能源��、運(yùn)營(yíng)商�����、政府。同比9月份的134個(gè)����,漏洞數(shù)量增加20個(gè)。10月份的漏洞中�,SQL注入漏洞數(shù)量占總量的38%,重回“第一寶座”����。
格局不改,SQL注入重回“王者”
數(shù)據(jù)安全問(wèn)題多數(shù)是從Web端開(kāi)始�。10月份SQL注入漏洞再次引爆新高潮,被白帽子挖掘出58個(gè)SQL注入相關(guān)漏洞�����,這些漏洞遍及公司機(jī)構(gòu)�����、互聯(lián)網(wǎng)���、政府等6個(gè)行業(yè)�����。SQL注入漏洞在10月份統(tǒng)計(jì)的漏洞總數(shù)中占據(jù)了近4成比例�。
10月平臺(tái)SQL注入漏洞占主要比重10月的SQL注入漏洞與以往的SQL注入漏洞存在很大的不同點(diǎn)。以往SQL注入是由于平臺(tái)缺乏對(duì)應(yīng)的校驗(yàn)機(jī)制而導(dǎo)致注入成功����。10月的SQL注入
案例中很多平臺(tái)的后臺(tái)存在WAF,但入侵者繞過(guò)WAF進(jìn)行SQL注入����。這源于WAF的某些技術(shù)限制,確實(shí)存在一些手段可以繞過(guò)WAF進(jìn)行SQL注入�。
白帽子“獨(dú)愛(ài)”政府,60個(gè)漏洞顯現(xiàn)
從10月154個(gè)受到數(shù)據(jù)泄露漏洞威脅的行業(yè)來(lái)看�����,政府��、互聯(lián)網(wǎng)�����、行業(yè)機(jī)構(gòu)依舊是重災(zāi)區(qū)��。10月單月僅安華每日安全資訊統(tǒng)計(jì)出的154個(gè)高危漏洞中
就有60個(gè)政府行業(yè)漏洞(包含了衛(wèi)生醫(yī)療�、教育、社保公積金幾個(gè)子類)占比38%�,互聯(lián)網(wǎng)行業(yè)占全部數(shù)據(jù)泄露威脅的22%。行業(yè)機(jī)構(gòu)緊隨其后���,漏洞比例占
11%��。
10月數(shù)據(jù)安全漏洞行業(yè)分布情況 10月政府行業(yè)漏洞數(shù)量暴漲���,本月政府行業(yè)有60個(gè)漏洞,同比9月份的43個(gè)增加了17個(gè)����,占整體漏洞總數(shù)的38%����。也是9月份以來(lái)三大高危行業(yè)
(政府、互聯(lián)網(wǎng)��、行業(yè)機(jī)構(gòu))中�,唯一漏洞數(shù)大幅攀升的行業(yè)。政府被集中爆出漏洞與自身網(wǎng)站的WAF策略配置有明顯關(guān)系�����。政府漏洞中有24個(gè)漏洞是繞過(guò)
WAF的SQL注入漏洞。60個(gè)中還存在兩個(gè)弱口令漏洞�、三個(gè)配置錯(cuò)誤漏洞,弱口令直接被白帽子用工具爆破出密碼��。相信通過(guò)合理的制度和一定的輔助工具弱
口令和配置錯(cuò)誤應(yīng)該能夠被杜絕�。在企業(yè)機(jī)構(gòu)、教育�、運(yùn)營(yíng)商和互聯(lián)網(wǎng)中�����,也存在上述問(wèn)題。雖然本月平臺(tái)系統(tǒng)漏洞有明顯減少�����,但依舊活躍在各個(gè)行業(yè)�����。錯(cuò)誤配
置、弱口令等人為因素依舊沒(méi)有杜絕�。
10月常見(jiàn)數(shù)據(jù)泄露原因分析
SQL注入是一種常見(jiàn)的黑客入侵WEB應(yīng)用服務(wù)器的手法�����。SQL注入產(chǎn)生的根本原理在于SQL語(yǔ)言是一種解釋型語(yǔ)言����。解釋型語(yǔ)言是一種在運(yùn)行時(shí)由一個(gè)運(yùn)行時(shí)組件解釋語(yǔ)言代碼并執(zhí)行其中包含指令的語(yǔ)言。
SQL注入正是基于解釋型語(yǔ)言的執(zhí)行方式產(chǎn)生的�。解釋器處理的數(shù)據(jù)實(shí)際上是由程序員編寫的代碼和用戶提交的數(shù)據(jù)共同組成的。黑客向Web應(yīng)用發(fā)送精
心構(gòu)造的輸入�,這個(gè)輸入中的一部分被解釋成程序指令,改變?cè)瓉?lái)的程序判斷的邏輯�。最終黑客可能通過(guò)SQL注入獲取Web應(yīng)用的管理員權(quán)限和Web應(yīng)用存在
數(shù)據(jù)庫(kù)中的大量敏感信息。
10月份數(shù)據(jù)泄漏威脅主要原因WAF雖然在一定程度上可以對(duì)SQL注入進(jìn)行防護(hù)��,但往往需要在性能和防護(hù)效果上做權(quán)衡�。讓W(xué)AF處于這種尷尬境地的原
因在于SQL注入是從http和SQL兩個(gè)角度進(jìn)行入侵的手法�����,而WAF主要針對(duì)HTTP
協(xié)議進(jìn)行解析。如果繞過(guò)的手法是出現(xiàn)在SQL語(yǔ)法中�����,WAF無(wú)法知道WEB應(yīng)用中生成用于訪問(wèn)數(shù)據(jù)庫(kù)完整的SQL語(yǔ)句�,無(wú)法針對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的SQL語(yǔ)句進(jìn)
行分析�、識(shí)別����,于是只能考慮采用關(guān)鍵字過(guò)濾等方式來(lái)進(jìn)行禁止�,這種一個(gè)一個(gè)封堵的方式難以遍歷所有SQL注入情況�����,在防守上存在遺漏�����,如果大量使用正則匹
配又會(huì)降低性能�。產(chǎn)生這些問(wèn)題的根源都在于WAF無(wú)法對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的完整SQL語(yǔ)句做分析�����、識(shí)別���。
由于WAF采用的是正則匹配的方式�����,于是出現(xiàn)了以下3中常見(jiàn)繞過(guò)WAF的手段:
(1).編碼繞過(guò)
在大小寫繞過(guò)的基礎(chǔ)上開(kāi)始出現(xiàn)編碼繞過(guò)�,主要出現(xiàn)了三種:URL編碼��、十六進(jìn)制編碼��、Unicode編碼����。在瀏覽器中輸
入U(xiǎn)RL會(huì)進(jìn)行一次URL編碼���,黑客會(huì)通過(guò)多次編碼來(lái)進(jìn)行WAF繞過(guò),例如:Id.php?id=1%2520union/**/select �,數(shù)據(jù)庫(kù)
得到的Id.php?id=1
union/**/select。如果只解碼一次得到的是Id.php?id=1%20union/**/select,很有可能繞過(guò)WAF入侵?jǐn)?shù)據(jù)庫(kù)�����。
針對(duì)這一問(wèn)題可以采用多次循環(huán)解碼來(lái)應(yīng)對(duì)��。其中Unicode編碼種類很多,如果只是基于黑名單過(guò)濾��,無(wú)法處理全部情況���,其中UTF-32曾經(jīng)實(shí)現(xiàn)過(guò)對(duì)
GOOGLE的繞過(guò)。
(2).注釋繞過(guò)
不但可以采用編碼改寫關(guān)鍵字,還可以采用注釋改寫關(guān)鍵字����,避免正則匹配。例如
z.com/index.php?page_id=-15 %55nION/**/%53ElecT 1,2,3,4 'union%a0select
pass from users#
���。就是用符號(hào)編碼代替一部分字母和判定的空格來(lái)逃避正則匹配。(selectxxx不會(huì)被攔截����,因?yàn)榭赡苁呛瘮?shù)名等�����。select
空格xxx則一定會(huì)被攔截�,去掉空格成為繞過(guò)的關(guān)鍵)。同樣還有針對(duì)MYSQL版本的/*!5000union*/系列����。
(3).等價(jià)替換
等價(jià)替換是個(gè)比較大的分類,主要可以分為等價(jià)函數(shù)���、等價(jià)符號(hào)、特殊符號(hào)�����、比較符號(hào)等4類���。
等價(jià)函數(shù)�����,就是同功能函數(shù)替換�。WAF禁止了一些函數(shù),但對(duì)另外一些函數(shù)沒(méi)有禁止例如
Substring()可以用mid()�����,substr()這些函數(shù)來(lái)替換����。還將可以采用生僻函數(shù)迂回完成原函數(shù)的功能���,進(jìn)行WAF關(guān)鍵字繞過(guò)�。and
or 這種關(guān)鍵字在PHP中可以用|| 和&&代替�。于是語(yǔ)句id=1 or 1=1就可以寫成id=1 ||
1=來(lái)進(jìn)行繞過(guò)。同樣�����!= �����、>、<等都可以代替等號(hào)進(jìn)行繞過(guò)����。
除去繞過(guò)關(guān)鍵字和關(guān)鍵符號(hào)外,最關(guān)鍵的是繞過(guò)空格�����。想各種方式避免空格出現(xiàn)���。
例如 原句 id=1 or 1=1
可以寫成 id=1+or+1=1
id=1%0bor%0b1=1
id=1--s%0aor--s%0a1=1
id=1/*!or*/1=1
id=1()or(1=1) 等多種形式進(jìn)行嘗試?yán)@過(guò)
Waf解決上述問(wèn)題的方法基本是在特征庫(kù)中添加更多的過(guò)濾項(xiàng)�。越多的過(guò)濾項(xiàng)����,越慢的性能。
從SQL角度防守SQL注入
WAF擅長(zhǎng)解析過(guò)濾http協(xié)議��,不能對(duì)SQL語(yǔ)句進(jìn)行整體分析����。針對(duì)這個(gè)缺陷,可以在WEB應(yīng)用和數(shù)據(jù)庫(kù)之間加入數(shù)據(jù)
庫(kù)防火墻進(jìn)行SQL部分的解析和過(guò)濾��。數(shù)據(jù)庫(kù)防火墻對(duì)從WEB應(yīng)用發(fā)向數(shù)據(jù)庫(kù)的SQL語(yǔ)句進(jìn)行語(yǔ)法解析�,可以理解SQL語(yǔ)句的真實(shí)含義��,并做以下四點(diǎn)判
斷:
1���、語(yǔ)句是否含有明顯的SQL注入特征;
2�、語(yǔ)句訪問(wèn)的對(duì)象是否屬于該用戶訪問(wèn)權(quán)限;
3��、語(yǔ)句調(diào)用的核心函數(shù)是否存在高危漏洞�����;
4�����、限制語(yǔ)句的返回行數(shù)�����,把危險(xiǎn)控制在最低限��。
加入數(shù)據(jù)庫(kù)防火墻后�����,數(shù)據(jù)庫(kù)防火墻會(huì)在WEB應(yīng)用和數(shù)據(jù)庫(kù)之間獲取WEB應(yīng)用發(fā)送給數(shù)據(jù)庫(kù)的SQL語(yǔ)句����。通過(guò)拿到的
SQL語(yǔ)句,按照不同數(shù)據(jù)庫(kù)進(jìn)行SQL協(xié)議解析���。通過(guò)協(xié)議解析把應(yīng)用發(fā)送的SQL語(yǔ)句還原成標(biāo)準(zhǔn)模式(去掉各種數(shù)據(jù)庫(kù)兼容符號(hào)和特殊用法)防止黑客利用上
述繞過(guò)WAF的手法繞過(guò)數(shù)據(jù)庫(kù)防火墻進(jìn)行SQL注入�����。首先還原后的SQL語(yǔ)句和黑名單中的禁止語(yǔ)句結(jié)構(gòu)進(jìn)行匹配�,如果認(rèn)為是威脅語(yǔ)句��,則禁止該語(yǔ)句發(fā)送到
數(shù)據(jù)庫(kù)端,并通過(guò)發(fā)送短信�����、郵件等方式及時(shí)通知管理員進(jìn)行處理�;語(yǔ)句結(jié)構(gòu)判斷沒(méi)有問(wèn)題后防火墻接下來(lái)會(huì)對(duì)語(yǔ)句中的操作對(duì)象和謂詞進(jìn)行判斷,如果對(duì)象或謂詞
有控制��,則依舊禁止該語(yǔ)句發(fā)送到數(shù)據(jù)庫(kù)端�����;即便繞過(guò)全部防護(hù)����,SQL語(yǔ)句被發(fā)送到數(shù)據(jù)庫(kù)端,數(shù)據(jù)庫(kù)防火墻還可以通過(guò)限制返回行數(shù)來(lái)減小數(shù)據(jù)外泄的損失��。
結(jié)束語(yǔ)
在防御SQL注入上WAF的最大問(wèn)題是無(wú)法對(duì)WEB發(fā)給數(shù)據(jù)庫(kù)的SQL語(yǔ)句進(jìn)行獲取����、分析�����。只能通過(guò)正則匹配來(lái)盡量保證
遍歷每種情況���,即使這樣也無(wú)法保證完全遍歷�����。如果為了達(dá)到完全遍歷而設(shè)置大量的正則匹配��,會(huì)對(duì)性能產(chǎn)生嚴(yán)重影響����。因?yàn)榧夹g(shù)路線原因?qū)е耊AF無(wú)法克服這種
自身缺陷��,而數(shù)據(jù)庫(kù)防火墻則恰好彌補(bǔ)了WAF的技術(shù)路線缺陷����。數(shù)據(jù)庫(kù)防火墻的防護(hù)策略、手段都是基于SQL協(xié)議解析而來(lái)�。數(shù)據(jù)庫(kù)防火墻在防止SQL注入上
徹底的解決了WAF以犧牲性能為代價(jià)的方式,相信如果數(shù)據(jù)庫(kù)防火墻和WAF配合使用會(huì)使我們的數(shù)據(jù)庫(kù)更加安全�����。
為了實(shí)現(xiàn)讓數(shù)據(jù)使用更安全的使命�,安華金和作為專業(yè)的數(shù)據(jù)庫(kù)安全廠商���,有義務(wù)和責(zé)任為客戶提供創(chuàng)新前沿與穩(wěn)定的數(shù)據(jù)庫(kù)安全防護(hù)產(chǎn)品與解決方案�����。
最后���,也是最重要的���,用戶還是要從主觀因素上提高安全意識(shí),加強(qiáng)內(nèi)部安全管理防范��。安全就是這樣一種形態(tài)����,平時(shí)不出狀況看不到安全的效果,一旦企業(yè)出現(xiàn)了數(shù)據(jù)泄露事件��,其經(jīng)濟(jì)損失�、名譽(yù)損失將不可估量,更甚者會(huì)使企業(yè)形象一落千丈���。
產(chǎn)品咨詢:4000 258 365 
