不容忽视的SQL注入式攻击

APGC安全支持团队在过去的几周中接到了多个利用SQL注入攻击的案例。鉴于这些攻击的影响以及愈发扩大的爆发规模,我们团队以安全警报的形式将此信息发给你们。请你们将这些信息分享给你们的客户以及合作伙伴,提高他们对目前在中国主干网络上的网站攻击事件的警惕。

迹象

根据5月19号的估测,中国大陆,香港,台湾的12万网站受到了SQL注入攻击。

在大中华地区,一个“<script src=hxxp://s.see9.us/s.js>”的脚本注入到了许多公共网站,包括政府,教育部门,非政府组织的慈善机构,以及一些企业。

你可以点击以下链接查看:

http://news.yahoo.com/s/pcworld/20080519/tc_pcworld/146048;_ylt=AoZS0SbSq3tH.Cl1uEHJPMeDzdAF

背景

首次攻击是在2008年1月发现的,这5个月里,在我们的监控下,发现此次爆发并不是第一起 SQL注入攻击。 在过去的4个月中,早已有3次大规模攻击:

1月初,成千上万的网站,包括CA.com,  受到了SQL注入攻击(>1,0001,000页/天)

3月中旬,包括TrendMicro.jp在内的网站受到了SQL注入攻击(>1,0001,000页/天)

4月中旬,包括英国政府,和联合国的网站都受到了SQL注入攻击(>1,0001,000页/天)

SQL注入攻击行为简介

以下是此类攻击的流程

1. 黑客运用搜索引擎寻找网页上的漏洞,并运用自动化工具攻击网络服务器。

2. 一个<script…>字符串附加到在后台运行的SQL服务器中所有的文本或可变长字符串列中。

3. 这个脚本与黑客所控制服务器连接。该服务器含有一些常用软件的利用代码,如Microsoft MS06-014, 第三方软件漏洞,(Real Player, Global Link Lianzong, PPStorm Baofeng, Thunder Xunlei, Baidu Bar)。有的时候还有一些0day漏洞,比如10天前公布的GlobalLink Lianzong 0day。

4. 当终端用户试图用IE浏览正常的网站时,由于这些网页都将从SQL服务器获取数据,这些数据同时包含了恶意脚本<script…>。而 这些脚本会自动连接到黑客的网站。

5. 如果终端用户没有打补丁,或尚未安装Microsoft或第三方软件的最新更新,那么他们的电脑就会被感染。

!cid_image001_jpg@01C8BC62

 

注: 事实上,在中国每天都有被攻击的网站,他们被感染上恶意代码,使其连向黑客控制的网站。根据我们来自中国Blackhat组织的消息,这些攻击者并没有暴露自己的身份。这种攻击的目的是攻击者想要建立一个超大的肉鸡网络,然后将其卖给其他人,从中谋取利益。

SQL注入事件响应的解决方案

一旦web服务器遭到SQL注入攻击,请遵循如下步骤:

1、关闭网站

2、检查IIS日志,查找引起这次攻击的有漏洞的目标网页

3、联系web开发者,修改并加强ASP页面。

注意这只是一种变通的解决方法,只能临时解决SQL注入问题。该网站可能在服务器再次联网后被再次注入。为了彻底解决这个问题,请参阅“预防SQL注入攻击的解决方案”。

预防SQL注入攻击的解决方案

这种SQL注入攻击是由ASP网页不符合安全编码的要求所引起的。为了防止攻击,我们需要验证所有网页的字符串输入的函数。比如说,带有用户名和密码输入框的网站登录页。

我们也可以在微软的官方网站上找到安全指导和最佳实践的文档,来应对SQL注入攻击。

用来缓解SQL注入攻击的最佳实践文章可以在这里找到:http://msdn2.microsoft.com/en-us/magazine/cc163917.aspx

How To - Protect from Injection Attacks in ASP.NET - http://msdn.microsoft.com/en-us/library/bb355989.aspx

How To - Protect from SQL Injection in ASP.NET - http://msdn.microsoft.com/en-us/library/ms998271.aspx

How To - Protect from Cross-Site Scripting in ASP.NET - http://msdn.microsoft.com/en-us/library/ms998274.aspx

Design Guidelines - http://msdn.microsoft.com/en-us/library/aa302420.aspx

Arch/Design Inspection - http://msdn.microsoft.com/en-us/library/aa302421.aspx

对于客户端用户,我们须确保他们计算机系统中已安装了微软及第三方软件的最新安全补丁。 (注意,大部分的攻击事件由第三方软件的漏洞造成,而并非由微软产品漏洞所造成)。

扫描和防御工具

在为了防止攻击,我们也可以过滤URL请求,微软还提供一个工具,叫作URLScan。

http://www.microsoft.com/technet/security/tools/urlscan.mspx

对于这种SQL注入攻击,这里有几个关键词需要加以补充。

“DECLARE” “EXEC” “CAST”

posted @ 2008-05-23 05:00  陈希章  阅读(831)  评论(0编辑  收藏  举报