用腳本類IDS抵御WEB攻擊
IDS即入侵檢測系統,專業上講就是依照一定的安全策略,通過軟、硬件,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。 傳統的IDS是一個監聽設備,這個設備通過網絡鏈路掛接在服務器和客戶端所有流量都必須流經的鏈路上,IDS就是通過特有IDS規則匹配黑客惡意攻擊入侵行為的流量,進行即時的監測和報警。
在歷年來開源的Web程序中,被披露最多最嚴重的安全漏洞一直是SQL注射,為了減少SQL注射漏洞對各大網站造成的安全威脅,web安全研究組織80SEC在2008年編寫了國內第一個腳本類IDS - MysqlIds,使用MysqlIds可以更好的、更有效率的幫助網站管理員和程序員抵御和檢測Sql注射漏洞。
現在流行的技術大部分是旁路監聽,一般不會因為IDS的性能影響網站正常的訪問流量,而Mysqlids也是按照類似的思路同樣不會影響程序的性能。Mysqlids存在于應用程序和數據庫操作之間的一個環節,完全以數據庫的語法來分析執行的SQL語句,而不是采用傳統的關鍵字檢測的方法,對于一些非正常的SQL語句能進行阻止并且記錄相關的信息,這樣就可以很快地定位程序中存在注射漏洞的地方,為漏洞的及時修復提供必要的信息。
MysqlIds是由PHP編寫的,通過一個封裝的安全函數,監測程序中運行的SQL查詢語句,針對黑客經常使用的union查詢、select子查詢、不常用的SQL注釋符、文件操作和benchmark等危險函數行為進行報警,這個IDS是無縫封裝在程序里的數據庫操作流程里的,也就是黑客通過程序漏洞進行惡意的SQL注射都能被非常詳細的監測到,程序員或者網站站長甚至能使用IDS發現自己網站程序中未被察覺的0DAY漏洞。下面我就分析MysqlIds的部分代碼,使大家可以從原理上更容易的理解MysqlIds,我們看看MysqlIds如何監測黑客SQL注入經常使用的惡意的聯合查詢。部分代碼如下:
- Code highlighting produced by Actipro CodeHighlighter (freeware)
- -->if (strpos($clean, 'union') !== false && preg_match('~(^[^a-z])union($ [^[a-z])~s', $clean) != 0){
- $fail = true;
- $error="union detect";
- }
MysqlIds使用了PHP中strpos函數來判斷程序執行的SQL語句是否存在惡意的SQL注射,這個函數可以高效率的查找指定字符串返回一個布爾值,當程序執行SQL語句中使用聯合查詢,規則條件就開始生效,啟用preg_match函數調用IDS規則來匹配惡意的聯合查詢語句,這個IDS規則是精心構造的正則表達式,類似于大家使用的傳統IDS規則,由于MysqlIds是在程序的數據庫操作層來檢測,所有能抓取到有效且實實在在的安全問題,且更有效更具有針對性。MysqlIds還針對程序運行的SQL語句出現的異常情況進行了監控,如SQL語句中出現異常的注釋符,一般黑客進行SQL注射攻擊,很多情況下需要注釋符完成SQL注射攻擊的SQL語句,同時黑客還有可能使用一些比較危險的MYSQL函數和功能,如sleep、benchmark、load_file和into outfile功能等,這些黑客在程序中使用SQL注射的惡意動作都能被MysqlIds監測到。 MysqlIds與傳統Web安全防御措施的區別
傳統的Web安全防御措施都非常滯后,在Web程序里未知的漏洞被攻擊的情況下,管理員往往要排查很多東西才能找到問題的關鍵點,有的時候可能是使用的程序中存在一個未知的SQL注射漏洞被黑客利用,卻無法確定黑客是如何攻擊,而導致整個網站一而再,再而三的淪陷。合理地部署Mysqlids后,就可以幫助管理員第一時間準確的定位網站的Web程序漏洞,關鍵在于MysqlIds核心的日志功能,它能準確的將每次精確匹配報警后的信息存入日志,代碼如下:
- Code highlighting produced by Actipro CodeHighlighter (freeware)
- -->if (!empty($fail))
- {
- fputs(fopen($log_file,'a+'),"<?php die();?>$db_string$error\r\n");
- die("Hacking Detect<br><a href=http://www.80sec.com />http://www.80sec.com");
- }
- else {
- return $db_string;
- }
- }
當程序的SQL語句被監測到惡意行為后,會打開相應條件語句里的fail開關,也就是觸發監測后根據信息會留下一條精確的日志信息。管理員排查日志就能精確定位程序中的SQL注射漏洞。
MysqlIds暫時只支持PHP+MYSQL架構的Web程序,作為開源程序和其原理的靈活性,大家可以很方便將MysqlIds和自己程序無縫結合。比如國內站長采用比較廣泛的一款PHP建站程序DeDecms,在DeDecms歷史版本中被披露過很多安全問題,其中SQL注射是其安全問題中危害最大也最多的問題。為了解決SQL注射問題,DedeCms在其發布的最新版中的數據庫類中封裝了80sec的Mysqlids,以用來抵御和檢測Sql注射漏洞。我們可以參考DeDecms的MYSQL數據庫類,將MysqlIds部署在程序中:
- \include\dedesql.class.php
DeDecms的MYSQL數據庫類161行的ExecuteNoneQuery函數封裝了MysqlIds,程序運行的SQL語句在進入MYSQL查詢之前都會使用MysqlIds的CheckSql函數處理。
- Code highlighting produced by Actipro CodeHighlighter (freeware)
- -->if($this->safeCheck) CheckSql($this->queryString,'update');
- return mysql_query($this->queryString,$this->linkID);
腳本類IDS展望
腳本類IDS作為一種花銷很小當最有效的安全措施值得大力推廣,近年來大家對安全越來越重視,Web程序的開發也越來越多的考慮程序的安全性,也許以后的WEB程序在開發之初就會將這類腳本IDS的概念設計在自己的程序中,那么大家只需要打開程序中的一個設置開關就能被實時保護,并能最準確的定位安全問題。目前MysqlIds在80SEC的官方網站上仍然是1.0版,希望他們以后能提供功能更強大腳本IDS.
【編輯推薦】
