SQL注入攻擊-來自微軟安全博客的建議

本文翻譯自微軟博客上刊載的相關文章，英文原文版權歸原作者所有，特此聲明。 （特別感謝Neil Carpenter對本文寫作提供的幫助）

近期趨勢

從去年下半年開始，很多網站被損害，他們在用于生成動態網頁的SQL數據庫中存儲的文本中被注入了惡意的HTML <script>標簽。這樣的攻擊在2008年第一季度開始加速傳播，并且持續影響有漏洞的Web程序。這些Web應用程序有這樣一些共同點：

• 使用經典ASP代碼的程序
• 使用SQL Server數據庫的程序

應用程序代碼根據URI請求字符動態地生成SQL查詢（http://consoto.com/widgets.asp?widget=sprocket）這體現了一種新的SQL注入（SQL injection）的途徑（http://msdn.microsoft.com/en-us/library/ms161953.aspx）。在過去，SQL注入攻擊的目標是具有如下特點的特殊Web應用程序：攻擊者知道或者可以探測出后臺數據庫的漏洞或者結構。這樣的攻擊（指本文討論的攻擊-譯者注）不同，因為它是抽象的，對于攻擊來說，任何存在于使用URI請求字符串動態創建SQL查詢的ASP頁面都可能存在。你可以在 http://blogs.technet.com/neilcar/archive/2008/03/15/anatomy-of-a-sql-injection-incident-part-2-meat.aspx找到更多的技術詳情和簡單代碼。 這樣的攻擊并非利用了Window、IIS、SQL Server或者其他底層代碼的漏洞，而是利用了在這些平臺上運行的由程序員自行編寫的代碼中的漏洞。Microsoft已經對這些攻擊進行了徹底的調查，并且發現，他們和以往的Microsoft產品的補丁和0-day漏洞無關。你可以在http://blogs.technet.com/msrc/archive/2008/04/25/questions-about-web-server-attacks.aspx獲取跟多的信息。 正如上面所指出的，這些攻擊在近年來呈現一種增長的趨勢。這至少與兩個因素有關： 第一，有暴力性的惡意攻擊工具自動化進行此類操作。SANS在http://isc.sans.org/diary.html?storyid=4294討論了這類工具。該工具使用搜索引擎來尋找具有SQL注入漏洞的站點。 第二，一個或多個惡意僵尸正在進行SQL注入攻擊，用以廣泛傳播僵尸。SecureWorks在http://www.secureworks.com/research/threats/danmecasprox/討論了一個案例。 一旦某臺服務器被該漏洞所攻擊，它將被插入指向某.js文件的惡意<script>標簽。雖然這些文件的內容不同，但是他們都嘗試利用已經被修復的Micfosoft產品的漏洞或者第三方ActiveX控件的漏洞。由于這些腳本被單獨存儲，這些腳本就很容易的被更新以利用更新的客戶端漏洞，也更容易按照不同瀏覽器來定制。

給信息技術/數據庫管理員的建議

有很多事情是信息技術管理員或者數據庫管理員可以采取的，以減少他們的風險和響應他們的代碼和平臺中可能出現的事件：

• 檢查IIS日志和數據表來尋找未知風險的標志。

由于該漏洞利用方式通過URI請求字符串作用，管理員們可以檢查IIS日志來查找嘗試利用該漏洞的非正常請求。你可以在http://blogs.technet.com/neilcar/archive/2008/03/15/anatomy-of-a-sql-injection-incident-part-2-meat.aspx找到如何手動進行改操作的詳細信息。在 http://www.codeplex.com/Release/ProjectReleases.aspx?ProjectName=WSUS&ReleaseId=13436有進行自動化操作的工具。 如果IIS日志表明服務器可能已經被侵害，那么下一步要采取的行動就是審計相應的Web應用程序所使用的數據庫中的表，并且查找附加在文本內容中的<script>標簽。 提示：IIS服務器不應當在生產環境中關閉日志。存儲和適當的管理對于IIS日志都是重要的，缺少IIS日志對于響應安全事件是非常困難的。

• 如果運行了使用后端數據庫的第三方代碼，則考慮不受SQL注入影響的獨立軟件開發商（ISV，Independent Software Vendors）。

在使用第三方ASP Web程序的情況下，管理員應當聯系應用程序廠商來確定他們的產品不受SQL注入攻擊的影響。

• 確認Web應用程序所使用的數據庫帳戶具有最少的權限。

管理員應當確保Web應用程序所使用的SQL用戶具有最小的必要權限。Web應用程序不應當以諸如"sysadmin"的服務器管理員權限或者"db_owner"的數據庫權限鏈接。白皮書"在SQL Server 2005中的最優化安全設置和維護"： http://download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc 提供了關于SQL Server安全的多方面建議。

原文轉自：http://www.anti-gravitydesign.com