自动式SQL注入攻击的新型防御

日期: 2008-07-13 作者:Michael Cobb翻译:李娜娜 来源:TechTarget中国 英文

最近,SANS协会互联网风暴中心(Internet Storm Center)的分析家们发现了一种工具:可以将易受SQL注入攻击网站的搜索和开发过程自动化。自动操作阐明了使用部分合法网站来主办和传播恶意软件,这一技术正日益流行。   在这篇文章中,TechTarget的特约专家会探讨一下SQL注入攻击,并研究如何发现、隔离和解决安全网站的恶意网页。   以往的SQL注入攻击   SQL注入攻击并不是什么新事物。

例如,在2003年公开审理的一个案例中,一家服装公司,Guess公司的网站上遭受了一次SQL注入攻击,结果导致安全破坏以及政府主导的法律解决。当时,法庭文件把SQL注入描述为“当攻击者在……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

最近,SANS协会互联网风暴中心(Internet Storm Center)的分析家们发现了一种工具:可以将易受SQL注入攻击网站的搜索和开发过程自动化。自动操作阐明了使用部分合法网站来主办和传播恶意软件,这一技术正日益流行。

  在这篇文章中,TechTarget的特约专家会探讨一下SQL注入攻击,并研究如何发现、隔离和解决安全网站的恶意网页。

  以往的SQL注入攻击

  SQL注入攻击并不是什么新事物。例如,在2003年公开审理的一个案例中,一家服装公司,Guess公司的网站上遭受了一次SQL注入攻击,结果导致安全破坏以及政府主导的法律解决。当时,法庭文件把SQL注入描述为“当攻击者在标准网页浏览器的地址(或URL)栏里键入某些字符,指引应用程序从支持或连接到网站的数据库里获得信息”时发生的。在法庭上,已经发现攻击者操纵应用程序,以明文形式访问guess.com数据库里的每一个表格,包括提供买家信用卡信息的表格。

  如果暴露敏感信息,公司面临的责任并没有改变。然而,关于最近一轮的SQL注入攻击的新内容是:攻击自动化的程度和它们所执行的绝对范围。

  新型的SQL注入攻击

  从技术角度来看,在寻找有漏洞的网站方面,今天的SQL注入攻击者更加彻底。他们使用各种工具加快开发进程。考虑到Asprox特洛伊木马病毒,它通过垃圾邮件和僵尸网络四处传播。亚特兰大的SecureWorks公司的高级安全研究员Joe Stewart介绍了整个过程是如何进行的:

1. 通过垃圾邮件(它通过受到感染的主机自动发送)安装一个特洛伊木马病毒。

2. 受到特洛伊木马病毒感染的电脑下载一个二进制,当启动时,它使用Google搜寻潜在的漏洞网站,这些网站使用由微软的Active Server Pages建立的窗体。搜寻结果成为SQL注入攻击的目标列表。

3. 特洛伊木马病毒发动对那些网站的SQL注入攻击,感染它们中的一部分。

4. 访问受感染网站的人们,被蒙骗从另一个网站下载一段恶意JavaScript代码。

5. 代码指引用户到第三方站点,那里有更多的恶意软件,比如Asprox或Danmec(窃取密码的特洛伊木马)的副本。

  这些步骤恰好说明,在过去的五年里所发生的变化。网站应用程序开发商曾经被建议测试和修补他们的代码,以防止发现及恶意利用SQL注入漏洞这样的微小机会发生。然而,最近的攻击已经表明目前更可能发现和恶意利用漏洞。因此,开发商应在配置前,优先大力地测试代码,一旦报道出新的漏洞,及时进行修补。

  了解一个网站何时受到攻击

  当然,没有任何一个企业希望在不知情的情况下传播恶意软件。所以你如何知道你的网站受否受到了攻击?奇怪的是,答案可能出现在来自Google的公告里。在黑客攻击工具两方面如何工作的一个很好的例子中,stopbadware.org项目的一个主要成员Google监测网站是否有“不良软件”:即间谍软件、恶意软件和欺骗性广告软件。事实上,当以下域中的网页搜寻器存在问题时,Google自动向下面域内的电子邮件地址发送恶意软件警报:

* abuse@
* admin@
* administrator@
* contact@
* info@
* postmaster@
* support@
* webmaster@
* abuse@
* admin@
* administrator@
* contact@
* info@
* postmaster@
* support@
* webmaster@

  当然,一个企业必须做好准备接收这些消息,即一些听起来很容易迷惑的东西。在这些地址里,也许有垃圾邮件过滤器,或者更糟的是,没有指定的收件人,这就意味着这些消息可能不会被阅读。为所有企业的网域编目录并核实联络资料是很好地回应这新一轮攻击的第一步。精明的安全专家也许想利用这些攻击的消息获取额外的资源,对整个网站进行检查。

  在过去的五年中,Web活动的爆炸性增长已经导致产生了许多的网站“迷失”,随后发起的项目也因没有合理的结果而被摒弃。不幸的是,Google 网络蠕虫将会不懈努力,精确地找到它们,并且如果它们是潜在的攻击目标,最终将会受到攻击。然而,所幸的是,一个企业可以主动地确定它是否有“恶意软件”的问题:可以使用Google Webmaster Tools免费检查任何网站。

  那些不方便依赖Google的机构,应该着手对他们的网站进行详细地检查。有一些有所帮助的工具,以Xenu’s Link Sleuth开始。它是一个免费程序,能检测指定网站上的所有连接,并且报告各种错误。切记要测试生产站点和从公司网络以外的一台机器上运行检查;否则,就可能会漏掉一些问题。

  如何应对新型的攻击

  向前发展,Acunetix Ltd.和SPI Dynamics(现在为惠普所有)等的网络漏洞扫描器中将引入一个积极主动的策略。一个好的网络漏洞扫描器——不要与网络扫描器混淆——将发现您网站上的所有目前已知的SQL注入漏洞。当新的漏洞为人所知时,新式的扫描器就会发现他们。

  谨记,防御SQL注入攻击也许还不够。攻击者对目标正采取一致和自动的搜寻,并对它们实行攻击。这些技术可以很好地应用于除SQL以外的,其它Web基础架构漏洞。

  最后,在Web应用程序开发过程和生产前各个阶段的安全测试以往更加重要。它们应该通过配置后的测试进行扩充,这些测试包括漏洞扫描工具和现场监测。

作者

Michael Cobb
Michael Cobb

相关推荐