如何應(yīng)對(duì)WEB攻擊的防護(hù)盲點(diǎn)(2)

靜態(tài)防護(hù)SQL注入

SQL注入的防護(hù)一直是焦點(diǎn)話題，從編程角度看最有效的防護(hù)是對(duì)用戶輸入的變量通過參數(shù)來傳遞，而不是直接嵌入到SQL語句，但缺陷：

1.不是所有的數(shù)據(jù)庫和編程語言都有相應(yīng)的參數(shù)化功能；

2.編寫時(shí)面對(duì)眾多的輸入模塊，難免會(huì)有疏漏；

3.難以批量化和統(tǒng)一部署。

還有一些方法就是把參數(shù)進(jìn)行分類，比如用戶遞交的參數(shù)值統(tǒng)一轉(zhuǎn)換成純數(shù)字或純字符串類型、加密用戶輸入、限制輸入長度等，但和以上方法的缺陷一樣。

比如這段代碼是直接把用戶輸入放置數(shù)據(jù)庫的SQL語句中進(jìn)行執(zhí)行，如果不對(duì)member_login變量進(jìn)行過濾和判斷是可以注入攻擊的：

---漏洞代碼段---
member_login=trim(request("login"))
set rs=server.createobject("ADODB.Recordset")
sql="select * from job_Member where Member_login='"&member_login&"'"
rs.open sql,conn,1,3

如果一一檢查和修復(fù)需要花費(fèi)大量的精力，而很多網(wǎng)站上線運(yùn)營之后需要提高安全性的普遍舉措是采用一些編寫好的通用性的函數(shù)，原理是對(duì)輸入進(jìn)行判斷和過濾，它在一定程度上能緩解攻擊行為，并且花費(fèi)成本相對(duì)不大，我們先看一段編寫的防護(hù)函數(shù)：

---防護(hù)代碼段---
<%

'定義需要過濾的輸入字符

dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete
|update|count|*|%|chr|mid|master|truncate|char
|declare|1=1|1=2|;"
SQL_inj = split(SQL_Injdata,"|"

'處理POST提交的輸入

If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),
Sql_Inj(Sql_DATA))>0 Then
Response.Write ""
Response.end
end if
next
Next
End If

'處理GET提交的輸入

If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write ""
Response.end
end if
next
next
end if
%>

以上代碼首先需要定義相對(duì)完整的過濾字符集，然后分別處理用GET和POST方式提交的數(shù)據(jù)報(bào)文，在需要防護(hù)的頁面里調(diào)用包括它既可[an error occurred while processing this directive]

但是編寫統(tǒng)一的防止注入函數(shù)有缺陷：

1.需要考慮不同語言的不同語法，不能統(tǒng)一，比如ASP、PHP、Java；

2.要充分考慮每一個(gè)可能用戶輸入的地方，但往往會(huì)有疏漏；

3.虛擬機(jī)往往有大量站點(diǎn)，而管理者是單個(gè)站點(diǎn)的屬主，系統(tǒng)管理員沒權(quán)利也沒能力統(tǒng)一定制防護(hù)措施；

4.如果是IDC或者大型企業(yè)的機(jī)房，會(huì)有更大量不同類型的WEB應(yīng)用服務(wù)器，要實(shí)現(xiàn)批量防護(hù)則更困難；

5.消耗服務(wù)器運(yùn)算資源和網(wǎng)絡(luò)帶寬，因?yàn)榇笈康木W(wǎng)絡(luò)連接和提交數(shù)據(jù)都需要經(jīng)過函數(shù)來處理；

6.過濾不嚴(yán)謹(jǐn)則容易被攻擊者繞過。

最后一點(diǎn)其實(shí)很關(guān)鍵，不僅僅是過濾不嚴(yán)謹(jǐn)，而且攻擊者對(duì)于輸入可變化大小寫，拼接攻擊語句，甚至構(gòu)造字符的不同編碼方式，比如字符 < 可被編碼為 <、<、&#x3c 或 %3c，而編碼方式又是如此之多，Unicode、十六進(jìn)制、ASIIC、UTF-8等，所以用防護(hù)函數(shù)方式是非常困難的。

通過上面描述，我們知道了從編程方式來防御攻擊具有它的局限性，簡單概括：會(huì)有疏漏、消耗性能、難以統(tǒng)一、運(yùn)算復(fù)雜等。

而這時(shí)WAF的優(yōu)點(diǎn)就體現(xiàn)出來了，綠盟科技WAF內(nèi)置了50多條精心配制的規(guī)則，用于防護(hù)SQL注入，有人可能會(huì)疑問這么少的規(guī)則能有效防御嗎？要知道雖然SQL注入的語句千變?nèi)f化，但規(guī)則只需要找出共同點(diǎn)進(jìn)行匹配即可，并且可在此基礎(chǔ)上自定義規(guī)則。規(guī)則制定后可用于WAF后需要保護(hù)的不同類型的多臺(tái)WEB服務(wù)器，類型一致的可使用同一規(guī)則，對(duì)于大型WEB群來說這具有無可比擬的優(yōu)越性。它的優(yōu)點(diǎn)如下：

1.統(tǒng)一定制的規(guī)則能批量適用于不同類型的網(wǎng)站；

2.花費(fèi)時(shí)間和精力最少，無論是應(yīng)用或編輯規(guī)則都方便，不用每臺(tái)WEB服務(wù)器去部署；

3.即使網(wǎng)站存在漏洞，也能在前端把攻擊流量給予清洗和阻斷；

4.網(wǎng)站無需處理錯(cuò)誤的探測(cè)，避免把錯(cuò)誤處理方式和信息暴露給攻擊者，同時(shí)也節(jié)省了服務(wù)器的處理資源。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０