用腳本類IDS抵御針對WEB的攻擊

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。傳統(tǒng)的IDS是一個監(jiān)聽設(shè)備，這個設(shè)備通過網(wǎng)絡(luò)鏈路掛接在億恩科技服務(wù)器和客戶端所有流量都必須流經(jīng)的鏈路上，IDS就是通過特有IDS規(guī)則匹配黑客惡意攻擊入侵行為的流量，進(jìn)行即時的監(jiān)測和報警。

在歷年來開源的Web程序中，被披露最多最嚴(yán)重的安全（服務(wù)器租用找：51033397）漏洞一直是SQL注射，為了減少SQL注射漏洞對各大網(wǎng)站：（mszdt.com）造成的安全（服務(wù)器租用找：51033397）威脅，Web安全（服務(wù)器租用找：51033397）研究組織80SEC在2008年編寫了國內(nèi)第一個腳本類IDS - MysqlIds，使用MysqlIds可以更好的、更有效率的幫助網(wǎng)站：（mszdt.com）管理員和程序員抵御和檢測SQL注射漏洞。

現(xiàn)在流行的技術(shù)大部分是旁路監(jiān)聽，一般不會因?yàn)镮DS的性能影響網(wǎng)站：（mszdt.com）正常的訪問流量，而Mysqlids也是按照類似的思路同樣不會影響程序的性能。Mysqlids存在于應(yīng)用程序和數(shù)據(jù)庫操作之間的一個環(huán)節(jié)，完全以數(shù)據(jù)庫的語法來分析執(zhí)行的SQL語句，而不是采用傳統(tǒng)的關(guān)鍵字檢測的方法，對于一些非正常的SQL語句能進(jìn)行阻止并且記錄相關(guān)的信息，這樣就可以很快地定位程序中存在注射漏洞的地方，為漏洞的及時修復(fù)提供必要的信息。

MysqlIds原理

MysqlIds是由PHP編寫的，通過一個封裝的安全（服務(wù)器租用找：51033397）函數(shù)，監(jiān)測程序中運(yùn)行的SQL查詢語句，針對黑客經(jīng)常使用的union查詢、select子查詢、不常用的SQL注釋符、文件操作和benchmark等危險函數(shù)行為進(jìn)行報警，這個IDS是無縫封裝在程序里的數(shù)據(jù)庫操作流程里的，也就是黑客通過程序漏洞進(jìn)行惡意的SQL注射都能被非常詳細(xì)的監(jiān)測到，程序員或者網(wǎng)站：（mszdt.com）站長甚至能使用IDS發(fā)現(xiàn)自己網(wǎng)站：（mszdt.com）程序中未被察覺的0DAY漏洞。下面我就分析MysqlIds的部分代碼，使大家可以從原理上更容易的理解MysqlIds，我們看看MysqlIds如何監(jiān)測黑客SQL注入經(jīng)常使用的惡意的聯(lián)合查詢。部分代碼如下：

if (strpos($clean, 'union') !== false && preg_match('~(^　[^a-z])union($　[^[a-z])~s', $clean) != 0){
$fail = true;
$error="union detect";
}

MysqlIds使用了PHP中strpos函數(shù)來判斷程序執(zhí)行的SQL語句是否存在惡意的SQL注射，這個函數(shù)可以高效率的查找指定字符串返回一個布爾值，當(dāng)程序執(zhí)行SQL語句中使用聯(lián)合查詢，規(guī)則條件就開始生效，啟用preg_match函數(shù)調(diào)用IDS規(guī)則來匹配惡意的聯(lián)合查詢語句，這個IDS規(guī)則是精心構(gòu)造的正則表達(dá)式，類似于大家使用的傳統(tǒng)IDS規(guī)則，由于MysqlIds是在程序的數(shù)據(jù)庫操作層來檢測，所有能抓取到有效且實(shí)實(shí)在在的安全（服務(wù)器租用找：51033397）問題，且更有效更具有針對性。MysqlIds還針對程序運(yùn)行的SQL語句出現(xiàn)的異常情況進(jìn)行了監(jiān)控，如SQL語句中出現(xiàn)異常的注釋符，一般黑客進(jìn)行SQL注射攻擊，很多情況下需要注釋符完成SQL注射攻擊的SQL語句，同時黑客還有可能使用一些比

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]