SQL注入攻击检测
- 格式:pdf
- 大小:555.85 KB
- 文档页数:8
2
故障背景
某单位外网网络出口部署有科来网络回溯分析系统,在某一天突然接到 客户反映,系统出现了大量的SQL注入攻击警报,警报数量达4万多条。 如此大量的SQL注入警报,客户怀疑设备出现误报,要求马上给予确认。
3
流量分析
通过警报日志,发现进行SQL注入攻击的IP地址为172.16.251.XX,而被 攻击的IP为172.16.0.XX。通过挖掘,发现这两个IP地址进行了大量的 HTTP会话通讯。如图:
‘=’,由此可知“%20anD%2053%3D53”即为“ anD 53 = 53”,完全 符合SQL注入的检测特征。
6
分析结论
根据分析验证,针对WEB服务器的HTTP会话确实存在SQL注入特征,造成 这种现象的原因有两点: 1. WEB服务器真的遭受到SQL注入攻击; 2. cookie里有这样的信息如果不是攻击,很有可能是开发人员偷懒,
8
4
流量分析
下载两个IP的会话数据,通过数据包解码分析,发现在HTTP会话的
cookie字段中存在明的Cookie字段: JSESSIONID=@10b640:140a784429b;order-
by=%')%20anD%2053%3D53%20anD%20'%'%3D'。其中%20 = 空格,%3D =
希望用cookie来保存一些查询或排序条件。切换页面时仍能带上这
些条件,从而导致符合了SQL注入的特征。 总的来讲,SQL注入攻击还是因为WEB服务的架构设计存在缺陷,因此建
议开发人员进行确认并改善。
7
谢谢
科来软件
电话:86-28-85120922
传真:86-28-85120911 网站:
SQL注入攻击检测
科来软件
网站:
1
SQL注入简介
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应 用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是 由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码 的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全 隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得 某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。