国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅 系統(tǒng)安全應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁(yè) > 信息安全 > 應(yīng)用安全 >

用腳本類IDS抵御WEB攻擊

時(shí)間:2011-05-05 20:25來(lái)源: 點(diǎn)擊:
IDS是英文“Intrusion Detection Systems”的縮寫(xiě),中文意思是“入侵檢測(cè)系統(tǒng)”。傳統(tǒng)的IDS是一個(gè)監(jiān)聽(tīng)設(shè)備,這個(gè)設(shè)備通過(guò)網(wǎng)絡(luò)鏈路掛接在服務(wù)器和客戶端所有流量都必須流經(jīng)的鏈路上。
TagsWEB攻擊(5)IDS(5)  

  是英文“Intrusion Detection Systems”的縮寫(xiě),中文意思是“入侵檢測(cè)系統(tǒng)”。傳統(tǒng)的IDS是一個(gè)監(jiān)聽(tīng)設(shè)備,這個(gè)設(shè)備通過(guò)網(wǎng)絡(luò)鏈路掛接在和客戶端所有流量都必須流經(jīng)的鏈路上,IDS就是通過(guò)特有IDS規(guī)則匹配惡意攻擊行為的流量,進(jìn)行即時(shí)的監(jiān)測(cè)和報(bào)警。

  在歷年來(lái)開(kāi)源的Web程序中,被披露最多最嚴(yán)重的安全漏洞一直是SQL注射,為了減少SQL注射漏洞對(duì)各大網(wǎng)站造成的安全威脅,web安全研究組織80SEC在2008年編寫(xiě)了國(guó)內(nèi)第一個(gè)腳本類IDS - MysqlIds,使用MysqlIds可以更好的、更有效率的幫助網(wǎng)站管理員和程序員抵御和檢測(cè)Sql注射漏洞。

  現(xiàn)在流行的技術(shù)大部分是旁路監(jiān)聽(tīng),一般不會(huì)因?yàn)镮DS的性能影響網(wǎng)站正常的訪問(wèn)流量,而Mysqlids也是按照類似的思路同樣不會(huì)影響程序的性能。Mysqlids存在于應(yīng)用程序和操作之間的一個(gè)環(huán)節(jié),完全以數(shù)據(jù)庫(kù)的語(yǔ)法來(lái)分析執(zhí)行的SQL語(yǔ)句,而不是采用傳統(tǒng)的關(guān)鍵字檢測(cè)的方法,對(duì)于一些非正常的SQL語(yǔ)句能進(jìn)行阻止并且記錄相關(guān)的信息,這樣就可以很快地定位程序中存在注射漏洞的地方,為漏洞的及時(shí)修復(fù)提供必要的信息。

  MysqlIds原理

  MysqlIds是由PHP編寫(xiě)的,通過(guò)一個(gè)的安全函數(shù),監(jiān)測(cè)程序中運(yùn)行的SQL查詢語(yǔ)句,針對(duì)黑客經(jīng)常使用的union查詢、select子查詢、不常用的SQL注釋符、文件操作和benchmark等危險(xiǎn)函數(shù)行為進(jìn)行報(bào)警,這個(gè)IDS是無(wú)縫封裝在程序里的數(shù)據(jù)庫(kù)操作流程里的,也就是黑客通過(guò)程序漏洞進(jìn)行惡意的SQL注射都能被非常詳細(xì)的監(jiān)測(cè)到,程序員或者網(wǎng)站站長(zhǎng)甚至能使用IDS發(fā)現(xiàn)自己網(wǎng)站程序中未被察覺(jué)的0DAY漏洞。下面我就分析MysqlIds的部分代碼,使大家可以從原理上更容易的理解MysqlIds,我們看看MysqlIds如何監(jiān)測(cè)黑客SQL注入經(jīng)常使用的惡意的聯(lián)合查詢。部分代碼如下:

  if (strpos($clean, 'union') !== false && preg_match('~(^|[^a-z])union($|[^[a-z])~s', $clean) != 0){

  $fail = true;

  $error="union detect";

  }

  MysqlIds使用了PHP中strpos函數(shù)來(lái)判斷程序執(zhí)行的SQL語(yǔ)句是否存在惡意的SQL注射,這個(gè)函數(shù)可以高效率的查找指定字符串返回一個(gè)布爾值,當(dāng)程序執(zhí)行SQL語(yǔ)句中使用聯(lián)合查詢,規(guī)則條件就開(kāi)始生效,啟用preg_match函數(shù)調(diào)用IDS規(guī)則來(lái)匹配惡意的聯(lián)合查詢語(yǔ)句,這個(gè)IDS規(guī)則是精心構(gòu)造的正則表達(dá)式,類似于大家使用的傳統(tǒng)IDS規(guī)則,由于MysqlIds是在程序的數(shù)據(jù)庫(kù)操作層來(lái)檢測(cè),所有能抓取到有效且實(shí)實(shí)在在的安全問(wèn)題,且更有效更具有針對(duì)性。MysqlIds還針對(duì)程序運(yùn)行的SQL語(yǔ)句出現(xiàn)的異常情況進(jìn)行了監(jiān)控,如SQL語(yǔ)句中出現(xiàn)異常的注釋符,一般黑客進(jìn)行SQL注射攻擊,很多情況下需要注釋符完成SQL注射攻擊的SQL語(yǔ)句,同時(shí)黑客還有可能使用一些比較危險(xiǎn)的MYSQL函數(shù)和功能,如sleep、benchmark、load_file和into outfile功能等,這些黑客在程序中使用SQL注射的惡意動(dòng)作都能被MysqlIds監(jiān)測(cè)到。

------分隔線----------------------------

推薦內(nèi)容