報(bào)告核心觀點(diǎn)
為了提高廣大用戶的安全意識(shí)�,國內(nèi)專業(yè)數(shù)據(jù)庫安全廠商安華金和,綜合來自補(bǔ)天����、烏云、漏洞盒子等漏洞平臺(tái)高危數(shù)據(jù)安全漏洞,發(fā)布每日安全資訊�,數(shù)據(jù)庫攻防實(shí)驗(yàn)室(DBSec Labs)以月為單位�,將數(shù)百個(gè)高危漏洞匯總,形成分析報(bào)告��,分享廣大用戶及合作伙伴��。
10月報(bào)告核心觀點(diǎn)
格局不變�����,SQL注入重回“王者”
白帽子“獨(dú)愛”政府�����,60個(gè)漏洞
10月常見數(shù)據(jù)泄露原因分析
從SQL角度防守SQL注入
報(bào)告正文
2015年10月�����,安華每日安全資訊總結(jié)發(fā)布了154個(gè)數(shù)據(jù)泄密高危漏洞�,這些漏洞分別來自烏云、補(bǔ)天����、漏洞盒子等平臺(tái),涉及8個(gè)行業(yè),公司機(jī)構(gòu)��、互聯(lián)網(wǎng)�、交通運(yùn)輸、教育��、金融保險(xiǎn)����、能源、運(yùn)營商�����、政府���。同比9月份的134個(gè)��,漏洞數(shù)量增加20個(gè)���。10月份的漏洞中,SQL注入漏洞數(shù)量占總量的38%����,重回“第一寶座”。
格局不改,SQL注入重回“王者”
數(shù)據(jù)安全問題多數(shù)是從Web端開始����。10月份SQL注入漏洞再次引爆新高潮,被白帽子挖掘出58個(gè)SQL注入相關(guān)漏洞��,這些漏洞遍及公司機(jī)構(gòu)�����、互聯(lián)網(wǎng)�����、政府等6個(gè)行業(yè)���。SQL注入漏洞在10月份統(tǒng)計(jì)的漏洞總數(shù)中占據(jù)了近4成比例。
10月平臺(tái)SQL注入漏洞占主要比重10月的SQL注入漏洞與以往的SQL注入漏洞存在很大的不同點(diǎn)��。以往SQL注入是由于平臺(tái)缺乏對(duì)應(yīng)的校驗(yàn)機(jī)制而導(dǎo)致注入成功���。10月的SQL注入
案例中很多平臺(tái)的后臺(tái)存在WAF����,但入侵者繞過WAF進(jìn)行SQL注入。這源于WAF的某些技術(shù)限制�,確實(shí)存在一些手段可以繞過WAF進(jìn)行SQL注入。
白帽子“獨(dú)愛”政府����,60個(gè)漏洞顯現(xiàn)
從10月154個(gè)受到數(shù)據(jù)泄露漏洞威脅的行業(yè)來看,政府����、互聯(lián)網(wǎng)、行業(yè)機(jī)構(gòu)依舊是重災(zāi)區(qū)����。10月單月僅安華每日安全資訊統(tǒng)計(jì)出的154個(gè)高危漏洞中
就有60個(gè)政府行業(yè)漏洞(包含了衛(wèi)生醫(yī)療、教育�、社保公積金幾個(gè)子類)占比38%,互聯(lián)網(wǎng)行業(yè)占全部數(shù)據(jù)泄露威脅的22%�����。行業(yè)機(jī)構(gòu)緊隨其后�����,漏洞比例占
11%���。
10月數(shù)據(jù)安全漏洞行業(yè)分布情況 10月政府行業(yè)漏洞數(shù)量暴漲���,本月政府行業(yè)有60個(gè)漏洞,同比9月份的43個(gè)增加了17個(gè)��,占整體漏洞總數(shù)的38%��。也是9月份以來三大高危行業(yè)
(政府����、互聯(lián)網(wǎng)���、行業(yè)機(jī)構(gòu))中,唯一漏洞數(shù)大幅攀升的行業(yè)��。政府被集中爆出漏洞與自身網(wǎng)站的WAF策略配置有明顯關(guān)系�����。政府漏洞中有24個(gè)漏洞是繞過
WAF的SQL注入漏洞����。60個(gè)中還存在兩個(gè)弱口令漏洞、三個(gè)配置錯(cuò)誤漏洞��,弱口令直接被白帽子用工具爆破出密碼。相信通過合理的制度和一定的輔助工具弱
口令和配置錯(cuò)誤應(yīng)該能夠被杜絕���。在企業(yè)機(jī)構(gòu)���、教育、運(yùn)營商和互聯(lián)網(wǎng)中�����,也存在上述問題��。雖然本月平臺(tái)系統(tǒng)漏洞有明顯減少����,但依舊活躍在各個(gè)行業(yè)。錯(cuò)誤配
置�、弱口令等人為因素依舊沒有杜絕。
10月常見數(shù)據(jù)泄露原因分析
SQL注入是一種常見的黑客入侵WEB應(yīng)用服務(wù)器的手法���。SQL注入產(chǎn)生的根本原理在于SQL語言是一種解釋型語言��。解釋型語言是一種在運(yùn)行時(shí)由一個(gè)運(yùn)行時(shí)組件解釋語言代碼并執(zhí)行其中包含指令的語言�����。
SQL注入正是基于解釋型語言的執(zhí)行方式產(chǎn)生的�����。解釋器處理的數(shù)據(jù)實(shí)際上是由程序員編寫的代碼和用戶提交的數(shù)據(jù)共同組成的�。黑客向Web應(yīng)用發(fā)送精
心構(gòu)造的輸入,這個(gè)輸入中的一部分被解釋成程序指令����,改變?cè)瓉淼某绦蚺袛嗟倪壿嫛W罱K黑客可能通過SQL注入獲取Web應(yīng)用的管理員權(quán)限和Web應(yīng)用存在
數(shù)據(jù)庫中的大量敏感信息�。
10月份數(shù)據(jù)泄漏威脅主要原因WAF雖然在一定程度上可以對(duì)SQL注入進(jìn)行防護(hù),但往往需要在性能和防護(hù)效果上做權(quán)衡����。讓W(xué)AF處于這種尷尬境地的原
因在于SQL注入是從http和SQL兩個(gè)角度進(jìn)行入侵的手法��,而WAF主要針對(duì)HTTP
協(xié)議進(jìn)行解析�。如果繞過的手法是出現(xiàn)在SQL語法中,WAF無法知道WEB應(yīng)用中生成用于訪問數(shù)據(jù)庫完整的SQL語句�����,無法針對(duì)訪問數(shù)據(jù)庫的SQL語句進(jìn)
行分析����、識(shí)別�����,于是只能考慮采用關(guān)鍵字過濾等方式來進(jìn)行禁止���,這種一個(gè)一個(gè)封堵的方式難以遍歷所有SQL注入情況,在防守上存在遺漏�����,如果大量使用正則匹
配又會(huì)降低性能�����。產(chǎn)生這些問題的根源都在于WAF無法對(duì)訪問數(shù)據(jù)庫的完整SQL語句做分析����、識(shí)別。
由于WAF采用的是正則匹配的方式�����,于是出現(xiàn)了以下3中常見繞過WAF的手段:
(1).編碼繞過
在大小寫繞過的基礎(chǔ)上開始出現(xiàn)編碼繞過�,主要出現(xiàn)了三種:URL編碼���、十六進(jìn)制編碼、Unicode編碼���。在瀏覽器中輸
入U(xiǎn)RL會(huì)進(jìn)行一次URL編碼���,黑客會(huì)通過多次編碼來進(jìn)行WAF繞過,例如:Id.php?id=1%2520union/**/select �,數(shù)據(jù)庫
得到的Id.php?id=1
union/**/select。如果只解碼一次得到的是Id.php?id=1%20union/**/select�,很有可能繞過WAF入侵?jǐn)?shù)據(jù)庫。
針對(duì)這一問題可以采用多次循環(huán)解碼來應(yīng)對(duì)�����。其中Unicode編碼種類很多����,如果只是基于黑名單過濾���,無法處理全部情況�����,其中UTF-32曾經(jīng)實(shí)現(xiàn)過對(duì)
GOOGLE的繞過�����。
(2).注釋繞過
不但可以采用編碼改寫關(guān)鍵字�,還可以采用注釋改寫關(guān)鍵字,避免正則匹配���。例如
z.com/index.php?page_id=-15 %55nION/**/%53ElecT 1,2,3,4 'union%a0select
pass from users#
����。就是用符號(hào)編碼代替一部分字母和判定的空格來逃避正則匹配��。(selectxxx不會(huì)被攔截����,因?yàn)榭赡苁呛瘮?shù)名等。select
空格xxx則一定會(huì)被攔截��,去掉空格成為繞過的關(guān)鍵)����。同樣還有針對(duì)MYSQL版本的/*!5000union*/系列。
(3).等價(jià)替換
等價(jià)替換是個(gè)比較大的分類,主要可以分為等價(jià)函數(shù)�、等價(jià)符號(hào)、特殊符號(hào)�����、比較符號(hào)等4類����。
等價(jià)函數(shù),就是同功能函數(shù)替換�。WAF禁止了一些函數(shù),但對(duì)另外一些函數(shù)沒有禁止例如
Substring()可以用mid()��,substr()這些函數(shù)來替換�。還將可以采用生僻函數(shù)迂回完成原函數(shù)的功能,進(jìn)行WAF關(guān)鍵字繞過��。and
or 這種關(guān)鍵字在PHP中可以用|| 和&&代替���。于是語句id=1 or 1=1就可以寫成id=1 ||
1=來進(jìn)行繞過�����。同樣!= 、>�����、<等都可以代替等號(hào)進(jìn)行繞過��。
除去繞過關(guān)鍵字和關(guān)鍵符號(hào)外�����,最關(guān)鍵的是繞過空格���。想各種方式避免空格出現(xiàn)����。
例如 原句 id=1 or 1=1
可以寫成 id=1+or+1=1
id=1%0bor%0b1=1
id=1--s%0aor--s%0a1=1
id=1/*!or*/1=1
id=1()or(1=1) 等多種形式進(jìn)行嘗試?yán)@過
Waf解決上述問題的方法基本是在特征庫中添加更多的過濾項(xiàng)��。越多的過濾項(xiàng)��,越慢的性能��。
從SQL角度防守SQL注入
WAF擅長解析過濾http協(xié)議��,不能對(duì)SQL語句進(jìn)行整體分析�。針對(duì)這個(gè)缺陷,可以在WEB應(yīng)用和數(shù)據(jù)庫之間加入數(shù)據(jù)
庫防火墻進(jìn)行SQL部分的解析和過濾。數(shù)據(jù)庫防火墻對(duì)從WEB應(yīng)用發(fā)向數(shù)據(jù)庫的SQL語句進(jìn)行語法解析���,可以理解SQL語句的真實(shí)含義���,并做以下四點(diǎn)判
斷:
1、語句是否含有明顯的SQL注入特征�����;
2����、語句訪問的對(duì)象是否屬于該用戶訪問權(quán)限;
3��、語句調(diào)用的核心函數(shù)是否存在高危漏洞��;
4�����、限制語句的返回行數(shù)�,把危險(xiǎn)控制在最低限。
加入數(shù)據(jù)庫防火墻后��,數(shù)據(jù)庫防火墻會(huì)在WEB應(yīng)用和數(shù)據(jù)庫之間獲取WEB應(yīng)用發(fā)送給數(shù)據(jù)庫的SQL語句。通過拿到的
SQL語句���,按照不同數(shù)據(jù)庫進(jìn)行SQL協(xié)議解析。通過協(xié)議解析把應(yīng)用發(fā)送的SQL語句還原成標(biāo)準(zhǔn)模式(去掉各種數(shù)據(jù)庫兼容符號(hào)和特殊用法)防止黑客利用上
述繞過WAF的手法繞過數(shù)據(jù)庫防火墻進(jìn)行SQL注入����。首先還原后的SQL語句和黑名單中的禁止語句結(jié)構(gòu)進(jìn)行匹配,如果認(rèn)為是威脅語句��,則禁止該語句發(fā)送到
數(shù)據(jù)庫端��,并通過發(fā)送短信�、郵件等方式及時(shí)通知管理員進(jìn)行處理;語句結(jié)構(gòu)判斷沒有問題后防火墻接下來會(huì)對(duì)語句中的操作對(duì)象和謂詞進(jìn)行判斷�����,如果對(duì)象或謂詞
有控制����,則依舊禁止該語句發(fā)送到數(shù)據(jù)庫端;即便繞過全部防護(hù)���,SQL語句被發(fā)送到數(shù)據(jù)庫端���,數(shù)據(jù)庫防火墻還可以通過限制返回行數(shù)來減小數(shù)據(jù)外泄的損失�。
結(jié)束語
在防御SQL注入上WAF的最大問題是無法對(duì)WEB發(fā)給數(shù)據(jù)庫的SQL語句進(jìn)行獲取����、分析。只能通過正則匹配來盡量保證
遍歷每種情況����,即使這樣也無法保證完全遍歷。如果為了達(dá)到完全遍歷而設(shè)置大量的正則匹配���,會(huì)對(duì)性能產(chǎn)生嚴(yán)重影響�。因?yàn)榧夹g(shù)路線原因?qū)е耊AF無法克服這種
自身缺陷���,而數(shù)據(jù)庫防火墻則恰好彌補(bǔ)了WAF的技術(shù)路線缺陷�����。數(shù)據(jù)庫防火墻的防護(hù)策略�����、手段都是基于SQL協(xié)議解析而來���。數(shù)據(jù)庫防火墻在防止SQL注入上
徹底的解決了WAF以犧牲性能為代價(jià)的方式����,相信如果數(shù)據(jù)庫防火墻和WAF配合使用會(huì)使我們的數(shù)據(jù)庫更加安全�。
為了實(shí)現(xiàn)讓數(shù)據(jù)使用更安全的使命�,安華金和作為專業(yè)的數(shù)據(jù)庫安全廠商,有義務(wù)和責(zé)任為客戶提供創(chuàng)新前沿與穩(wěn)定的數(shù)據(jù)庫安全防護(hù)產(chǎn)品與解決方案����。
最后,也是最重要的���,用戶還是要從主觀因素上提高安全意識(shí)����,加強(qiáng)內(nèi)部安全管理防范�。安全就是這樣一種形態(tài),平時(shí)不出狀況看不到安全的效果�����,一旦企業(yè)出現(xiàn)了數(shù)據(jù)泄露事件����,其經(jīng)濟(jì)損失�、名譽(yù)損失將不可估量�,更甚者會(huì)使企業(yè)形象一落千丈。
產(chǎn)品咨詢:4000 258 365 
