如何應(yīng)對(duì)WEB攻擊的防護(hù)盲點(diǎn)(2) |
| 發(fā)布時(shí)間: 2012/9/15 19:34:35 |
|
靜態(tài)防護(hù)SQL注入
SQL注入的防護(hù)一直是焦點(diǎn)話題,從編程角度看最有效的防護(hù)是對(duì)用戶輸入的變量通過(guò)參數(shù)來(lái)傳遞��,而不是直接嵌入到SQL語(yǔ)句��,但缺陷:
1.不是所有的數(shù)據(jù)庫(kù)和編程語(yǔ)言都有相應(yīng)的參數(shù)化功能���;
2.編寫時(shí)面對(duì)眾多的輸入模塊�����,難免會(huì)有疏漏����;
3.難以批量化和統(tǒng)一部署。
還有一些方法就是把參數(shù)進(jìn)行分類���,比如用戶遞交的參數(shù)值統(tǒng)一轉(zhuǎn)換成純數(shù)字或純字符串類型����、加密用戶輸入、限制輸入長(zhǎng)度等����,但和以上方法的缺陷一樣。
比如這段代碼是直接把用戶輸入放置數(shù)據(jù)庫(kù)的SQL語(yǔ)句中進(jìn)行執(zhí)行����,如果不對(duì)member_login變量進(jìn)行過(guò)濾和判斷是可以注入攻擊的:
---漏洞代碼段--- member_login=trim(request("login")) set rs=server.createobject("ADODB.Recordset") sql="select * from job_Member where Member_login='"&member_login&"'" rs.open sql,conn,1,3
|
如果一一檢查和修復(fù)需要花費(fèi)大量的精力,而很多網(wǎng)站上線運(yùn)營(yíng)之后需要提高安全性的普遍舉措是采用一些編寫好的通用性的函數(shù)��,原理是對(duì)輸入進(jìn)行判斷和過(guò)濾�����,它在一定程度上能緩解攻擊行為�,并且花費(fèi)成本相對(duì)不大,我們先看一段編寫的防護(hù)函數(shù):
---防護(hù)代碼段--- <%
'定義需要過(guò)濾的輸入字符
dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete
|update|count|*|%|chr|mid|master|truncate|char
|declare|1=1|1=2|;"
SQL_inj = split(SQL_Injdata,"|"
'處理POST提交的輸入
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),
Sql_Inj(Sql_DATA))>0 Then
Response.Write ""
Response.end
end if
next
Next
End If
'處理GET提交的輸入
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write ""
Response.end
end if
next
next
end if
%>
|
以上代碼首先需要定義相對(duì)完整的過(guò)濾字符集�,然后分別處理用GET和POST方式提交的數(shù)據(jù)報(bào)文���,在需要防護(hù)的頁(yè)面里調(diào)用包括它既可[an error occurred while processing this directive]
但是編寫統(tǒng)一的防止注入函數(shù)有缺陷:
1.需要考慮不同語(yǔ)言的不同語(yǔ)法���,不能統(tǒng)一,比如ASP����、PHP、Java�;
2.要充分考慮每一個(gè)可能用戶輸入的地方,但往往會(huì)有疏漏�����;
3.虛擬機(jī)往往有大量站點(diǎn)�,而管理者是單個(gè)站點(diǎn)的屬主,系統(tǒng)管理員沒(méi)權(quán)利也沒(méi)能力統(tǒng)一定制防護(hù)措施��;
4.如果是IDC或者大型企業(yè)的機(jī)房���,會(huì)有更大量不同類型的WEB應(yīng)用服務(wù)器,要實(shí)現(xiàn)批量防護(hù)則更困難�;
5.消耗服務(wù)器運(yùn)算資源和網(wǎng)絡(luò)帶寬,因?yàn)榇笈康木W(wǎng)絡(luò)連接和提交數(shù)據(jù)都需要經(jīng)過(guò)函數(shù)來(lái)處理����;
6.過(guò)濾不嚴(yán)謹(jǐn)則容易被攻擊者繞過(guò)�����。
最后一點(diǎn)其實(shí)很關(guān)鍵����,不僅僅是過(guò)濾不嚴(yán)謹(jǐn)���,而且攻擊者對(duì)于輸入可變化大小寫��,拼接攻擊語(yǔ)句��,甚至構(gòu)造字符的不同編碼方式����,比如字符 < 可被編碼為 <�、<、< 或 %3c�����,而編碼方式又是如此之多,Unicode�����、十六進(jìn)制、ASIIC�����、UTF-8等���,所以用防護(hù)函數(shù)方式是非常困難的�����。
通過(guò)上面描述�����,我們知道了從編程方式來(lái)防御攻擊具有它的局限性�,簡(jiǎn)單概括:會(huì)有疏漏�、消耗性能、難以統(tǒng)一�����、運(yùn)算復(fù)雜等�。
而這時(shí)WAF的優(yōu)點(diǎn)就體現(xiàn)出來(lái)了,綠盟科技WAF內(nèi)置了50多條精心配制的規(guī)則�,用于防護(hù)SQL注入,有人可能會(huì)疑問(wèn)這么少的規(guī)則能有效防御嗎�����?要知道雖然SQL注入的語(yǔ)句千變?nèi)f化���,但規(guī)則只需要找出共同點(diǎn)進(jìn)行匹配即可��,并且可在此基礎(chǔ)上自定義規(guī)則�。規(guī)則制定后可用于WAF后需要保護(hù)的不同類型的多臺(tái)WEB服務(wù)器�,類型一致的可使用同一規(guī)則,對(duì)于大型WEB群來(lái)說(shuō)這具有無(wú)可比擬的優(yōu)越性���。它的優(yōu)點(diǎn)如下:
1.統(tǒng)一定制的規(guī)則能批量適用于不同類型的網(wǎng)站����;
2.花費(fèi)時(shí)間和精力最少��,無(wú)論是應(yīng)用或編輯規(guī)則都方便���,不用每臺(tái)WEB服務(wù)器去部署�;
3.即使網(wǎng)站存在漏洞,也能在前端把攻擊流量給予清洗和阻斷��;
4.網(wǎng)站無(wú)需處理錯(cuò)誤的探測(cè)����,避免把錯(cuò)誤處理方式和信息暴露給攻擊者,同時(shí)也節(jié)省了服務(wù)器的處理資源��。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
|
以上代碼首先需要定義相對(duì)完整的過(guò)濾字符集,然后分別處理用GET和POST方式提交的數(shù)據(jù)報(bào)文�����,在需要防護(hù)的頁(yè)面里調(diào)用包括它既可[an error occurred while processing this directive]
但是編寫統(tǒng)一的防止注入函數(shù)有缺陷:
1.需要考慮不同語(yǔ)言的不同語(yǔ)法,不能統(tǒng)一��,比如ASP��、PHP�����、Java���;
2.要充分考慮每一個(gè)可能用戶輸入的地方����,但往往會(huì)有疏漏�����;
3.虛擬機(jī)往往有大量站點(diǎn)�����,而管理者是單個(gè)站點(diǎn)的屬主����,系統(tǒng)管理員沒(méi)權(quán)利也沒(méi)能力統(tǒng)一定制防護(hù)措施�;
4.如果是IDC或者大型企業(yè)的機(jī)房�,會(huì)有更大量不同類型的WEB應(yīng)用服務(wù)器,要實(shí)現(xiàn)批量防護(hù)則更困難�����;
5.消耗服務(wù)器運(yùn)算資源和網(wǎng)絡(luò)帶寬���,因?yàn)榇笈康木W(wǎng)絡(luò)連接和提交數(shù)據(jù)都需要經(jīng)過(guò)函數(shù)來(lái)處理;
6.過(guò)濾不嚴(yán)謹(jǐn)則容易被攻擊者繞過(guò)����。
最后一點(diǎn)其實(shí)很關(guān)鍵,不僅僅是過(guò)濾不嚴(yán)謹(jǐn)�,而且攻擊者對(duì)于輸入可變化大小寫,拼接攻擊語(yǔ)句����,甚至構(gòu)造字符的不同編碼方式,比如字符 < 可被編碼為 <�����、<、< 或 %3c����,而編碼方式又是如此之多,Unicode�����、十六進(jìn)制�、ASIIC、UTF-8等���,所以用防護(hù)函數(shù)方式是非常困難的�。
通過(guò)上面描述����,我們知道了從編程方式來(lái)防御攻擊具有它的局限性,簡(jiǎn)單概括:會(huì)有疏漏��、消耗性能���、難以統(tǒng)一�、運(yùn)算復(fù)雜等�。
而這時(shí)WAF的優(yōu)點(diǎn)就體現(xiàn)出來(lái)了�����,綠盟科技WAF內(nèi)置了50多條精心配制的規(guī)則�,用于防護(hù)SQL注入���,有人可能會(huì)疑問(wèn)這么少的規(guī)則能有效防御嗎��?要知道雖然SQL注入的語(yǔ)句千變?nèi)f化�,但規(guī)則只需要找出共同點(diǎn)進(jìn)行匹配即可���,并且可在此基礎(chǔ)上自定義規(guī)則。規(guī)則制定后可用于WAF后需要保護(hù)的不同類型的多臺(tái)WEB服務(wù)器����,類型一致的可使用同一規(guī)則,對(duì)于大型WEB群來(lái)說(shuō)這具有無(wú)可比擬的優(yōu)越性���。它的優(yōu)點(diǎn)如下:
1.統(tǒng)一定制的規(guī)則能批量適用于不同類型的網(wǎng)站���;
2.花費(fèi)時(shí)間和精力最少,無(wú)論是應(yīng)用或編輯規(guī)則都方便�����,不用每臺(tái)WEB服務(wù)器去部署;
3.即使網(wǎng)站存在漏洞���,也能在前端把攻擊流量給予清洗和阻斷�����;
4.網(wǎng)站無(wú)需處理錯(cuò)誤的探測(cè)��,避免把錯(cuò)誤處理方式和信息暴露給攻擊者��,同時(shí)也節(jié)省了服務(wù)器的處理資源��。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:
億恩科技【www.enidc.com】-->
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
