SQL Injection (SQLi) cuộc tấn công đã được khoảng hơn một thập kỷ. Bạn có thể tự hỏi tại sao họ vẫn còn rất phổ biến. Lý do chính là họ vẫn làm việc trên một vài mục tiêu ứng dụng web. Trong thực tế, theo Veracode 2014 của Nhà nước về an ninh Báo cáo phần mềm, các lỗ hổng SQL injection bệnh dịch hạch vẫn còn 32% của tất cả các ứng dụng web. Một trong những lý do lớn là sự hấp dẫn của các mục tiêu - cơ sở dữ liệu thường chứa các dữ liệu thú vị và có giá trị cho các ứng dụng web.
Một cuộc tấn công SQLi liên quan đến việc chèn một truy vấn SQL bị thay đổi vào một ứng dụng thông qua phía khách hàng đầu vào. Cuộc tấn công hư hỏng những ý định của người lập trình web viết các truy vấn và cung cấp các phương thức nhập liệu có thể khai thác. Có một lý do họ đang trên OWASP Top 10 được gọi là "Tiêm Lỗ Hổng", họ có thể tấn công không chỉ SQL, nhưng hệ điều hành và LDAP có thể rơi vào trạng thái SQLi. Họ bao gồm việc gửi dữ liệu không đáng tin cậy để người phiên dịch là một phần của câu truy vấn.
Các thủ thuật tấn công thông dịch viên vào thực hiện lệnh hoặc truy cập dữ liệu. Những kẻ tấn công này khai thác để sửa đổi các mục trong cơ sở dữ liệu của bạn, thực hiện lệnh trên cơ sở dữ liệu (xóa cơ sở dữ liệu, cho phép thay đổi và do đó trên) và đọc dữ liệu từ cơ sở dữ liệu exfiltrate của bạn.
Ví dụ về các cuộc tấn công SQLi có thể được tìm thấy trên wiki OWASP. Những sai sót cơ bản cho phép các cuộc tấn công SQLi được đưa ra khi các nhà phát triển tạo ra các truy vấn cơ sở dữ liệu năng động bao gồm người dùng nhập vào.
Remediating tấn công SQLi liên quan đến việc sửa lỗi mã hóa cho phép người dùng cung cấp đầu vào có thể chứa SQL độc hại và thay đổi logic của câu truy vấn. Wiki OWASP chi tiết một số phòng thủ cho rằng các nhà phát triển ứng dụng sử dụng để tránh giới thiệu sai sót SQLi-cho phép.
Bước đầu tiên trong việc giải quyết khai thác SQLi là phát hiện và điều tra chúng. Khi bị tấn công, các câu hỏi sau đây rất quan trọng:
Sử dụng AlienVault USM Phát hiện tấn công SQL Injection
AlienVault quản lý an ninh thông hợp nhất (USM) có thể giúp bạn phát hiện các cuộc tấn công và trả lời các câu hỏi trên với một số công nghệ bảo mật tích hợp bao gồm cả máy chủ dựa trên IDS, IDS mạng và thời gian thực thông tin tình báo mối đe dọa.
Mạng IDS đốm SQLi
Mạng lưới phát hiện xâm phạm (NIDS) được xây dựng trong AlienVault USM cung cấp cho bạn khả năng giám sát tất cả các yêu cầu kết nối đến máy chủ web của bạn, cộng với nó bao gồm xây dựng trong chỉ thị tương quan đến hoạt động tại chỗ chỉ định của một SQLi. Kể từ khi phong cảnh mối đe dọa luôn thay đổi, chữ ký mạng IDS được cập nhật hàng tuần dựa trên nghiên cứu mối đe dọa thực hiện bởi nhóm nghiên cứu AlienVault phòng thí nghiệm, vì vậy bạn có thể ở hiện hành về các cuộc tấn công mới.
Tổ chức IDS phát hiện SQLi bằng cách quan sát hoạt động tập tin
USM cũng bao gồm một hệ thống phát hiện xâm nhập máy chủ dựa trên (HIDS), do đó bạn có thể giám sát hoạt động cục bộ trên một máy chủ. Trong trường hợp này, các đại lý HIDS sẽ được cài đặt trên máy chủ web riêng của mình, phân tích các bản ghi trên máy chủ Apache hoặc IIS của bạn. Một lần nữa, các quy tắc tương quan tích hợp sẵn trong AlienVault USM làm cho nó có thể phát hiện các hoạt động phù hợp với các cuộc tấn công SQLi và cảnh báo bạn ngay lập tức. Các AlienVault HIDS cũng theo dõi thay đổi tập tin để bạn có khả năng hiển thị các tập tin và các bảng trong cơ sở dữ liệu của bạn bị ảnh hưởng bởi các cuộc tấn công.
Dưới đây là một ví dụ về USM giao diện điều khiển hiển thị SQLi và các chi tiết liên quan đến mối đe dọa:
HIDS Dashboard
List of Recent SQLi Events
Details about the Threat
Thời gian thực Threat Intelligence từ các mối đe dọa Trao đổi AlienVault Mở
Ngoài ra, AlienVault USM sử dụng thời gian thực thông tin tình báo mối đe dọa từ các mối đe dọa AlienVault Mở Exchange (OTX) để phát hiện các kết nối với các diễn viên được biết đến xấu. Đây là những máy chủ độc hại hoặc kẻ tấn công có các khu công nghiệp đã chỉ ra trong OTX vì họ tấn công những người đóng góp OTX khác, đã được xác định bởi các dịch vụ khác chia sẻ mối đe dọa chúng tôi sử dụng, hoặc đã được xác định thông qua nghiên cứu độc lập được thực hiện bởi đội ngũ AlienVault Labs của chúng tôi được biết đến.
OTX dữ liệu cung cấp bối cảnh các thông tin IDS và có thể làm tăng sự tự tin của bạn mà một mối đe dọa được phát hiện là độc hại, kể từ khi hoạt động bạn đang quan sát là từ một máy chủ độc hại được biết đến. Ngoài ra, USM kết hợp và tương quan đầu vào từ HIDS, NIDS và OTX qua (SIEM) khả năng tích hợp thông tin an ninh và quản lý sự kiện của nó, tạo cho bạn một bức tranh đầy đủ các mối đe dọa trong môi trường của bạn.
AlienVAult USM cung cấp một giao diện điều khiển duy nhất với các thông tin bạn cần để làm ứng phó sự cố nhanh chóng và hiệu quả. Tìm hiểu thêm:
Một cuộc tấn công SQLi liên quan đến việc chèn một truy vấn SQL bị thay đổi vào một ứng dụng thông qua phía khách hàng đầu vào. Cuộc tấn công hư hỏng những ý định của người lập trình web viết các truy vấn và cung cấp các phương thức nhập liệu có thể khai thác. Có một lý do họ đang trên OWASP Top 10 được gọi là "Tiêm Lỗ Hổng", họ có thể tấn công không chỉ SQL, nhưng hệ điều hành và LDAP có thể rơi vào trạng thái SQLi. Họ bao gồm việc gửi dữ liệu không đáng tin cậy để người phiên dịch là một phần của câu truy vấn.
Các thủ thuật tấn công thông dịch viên vào thực hiện lệnh hoặc truy cập dữ liệu. Những kẻ tấn công này khai thác để sửa đổi các mục trong cơ sở dữ liệu của bạn, thực hiện lệnh trên cơ sở dữ liệu (xóa cơ sở dữ liệu, cho phép thay đổi và do đó trên) và đọc dữ liệu từ cơ sở dữ liệu exfiltrate của bạn.
Ví dụ về các cuộc tấn công SQLi có thể được tìm thấy trên wiki OWASP. Những sai sót cơ bản cho phép các cuộc tấn công SQLi được đưa ra khi các nhà phát triển tạo ra các truy vấn cơ sở dữ liệu năng động bao gồm người dùng nhập vào.
Remediating tấn công SQLi liên quan đến việc sửa lỗi mã hóa cho phép người dùng cung cấp đầu vào có thể chứa SQL độc hại và thay đổi logic của câu truy vấn. Wiki OWASP chi tiết một số phòng thủ cho rằng các nhà phát triển ứng dụng sử dụng để tránh giới thiệu sai sót SQLi-cho phép.
Bước đầu tiên trong việc giải quyết khai thác SQLi là phát hiện và điều tra chúng. Khi bị tấn công, các câu hỏi sau đây rất quan trọng:
Khi tôi đã bị tấn công?
Tôi đã bị tấn công ở đâu?
Làm thế nào phổ biến là vụ tấn công?
Được bất kỳ tập tin hoặc bảng ghi đè?
Ai đang tấn công tôi, và những người khác đang bị tấn công không?
Sử dụng AlienVault USM Phát hiện tấn công SQL Injection
AlienVault quản lý an ninh thông hợp nhất (USM) có thể giúp bạn phát hiện các cuộc tấn công và trả lời các câu hỏi trên với một số công nghệ bảo mật tích hợp bao gồm cả máy chủ dựa trên IDS, IDS mạng và thời gian thực thông tin tình báo mối đe dọa.
Mạng IDS đốm SQLi
Mạng lưới phát hiện xâm phạm (NIDS) được xây dựng trong AlienVault USM cung cấp cho bạn khả năng giám sát tất cả các yêu cầu kết nối đến máy chủ web của bạn, cộng với nó bao gồm xây dựng trong chỉ thị tương quan đến hoạt động tại chỗ chỉ định của một SQLi. Kể từ khi phong cảnh mối đe dọa luôn thay đổi, chữ ký mạng IDS được cập nhật hàng tuần dựa trên nghiên cứu mối đe dọa thực hiện bởi nhóm nghiên cứu AlienVault phòng thí nghiệm, vì vậy bạn có thể ở hiện hành về các cuộc tấn công mới.
Tổ chức IDS phát hiện SQLi bằng cách quan sát hoạt động tập tin
USM cũng bao gồm một hệ thống phát hiện xâm nhập máy chủ dựa trên (HIDS), do đó bạn có thể giám sát hoạt động cục bộ trên một máy chủ. Trong trường hợp này, các đại lý HIDS sẽ được cài đặt trên máy chủ web riêng của mình, phân tích các bản ghi trên máy chủ Apache hoặc IIS của bạn. Một lần nữa, các quy tắc tương quan tích hợp sẵn trong AlienVault USM làm cho nó có thể phát hiện các hoạt động phù hợp với các cuộc tấn công SQLi và cảnh báo bạn ngay lập tức. Các AlienVault HIDS cũng theo dõi thay đổi tập tin để bạn có khả năng hiển thị các tập tin và các bảng trong cơ sở dữ liệu của bạn bị ảnh hưởng bởi các cuộc tấn công.
Dưới đây là một ví dụ về USM giao diện điều khiển hiển thị SQLi và các chi tiết liên quan đến mối đe dọa:
HIDS Dashboard
List of Recent SQLi Events
Details about the Threat
Thời gian thực Threat Intelligence từ các mối đe dọa Trao đổi AlienVault Mở
Ngoài ra, AlienVault USM sử dụng thời gian thực thông tin tình báo mối đe dọa từ các mối đe dọa AlienVault Mở Exchange (OTX) để phát hiện các kết nối với các diễn viên được biết đến xấu. Đây là những máy chủ độc hại hoặc kẻ tấn công có các khu công nghiệp đã chỉ ra trong OTX vì họ tấn công những người đóng góp OTX khác, đã được xác định bởi các dịch vụ khác chia sẻ mối đe dọa chúng tôi sử dụng, hoặc đã được xác định thông qua nghiên cứu độc lập được thực hiện bởi đội ngũ AlienVault Labs của chúng tôi được biết đến.
OTX dữ liệu cung cấp bối cảnh các thông tin IDS và có thể làm tăng sự tự tin của bạn mà một mối đe dọa được phát hiện là độc hại, kể từ khi hoạt động bạn đang quan sát là từ một máy chủ độc hại được biết đến. Ngoài ra, USM kết hợp và tương quan đầu vào từ HIDS, NIDS và OTX qua (SIEM) khả năng tích hợp thông tin an ninh và quản lý sự kiện của nó, tạo cho bạn một bức tranh đầy đủ các mối đe dọa trong môi trường của bạn.
AlienVAult USM cung cấp một giao diện điều khiển duy nhất với các thông tin bạn cần để làm ứng phó sự cố nhanh chóng và hiệu quả. Tìm hiểu thêm:
Theo THN