扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2009年3月17日上午,冠群金辰公司的工程师小李刚到公司,就接到了用户的电话:“怎么回事?我们的网站从今天早上开始就不能正常访问,是不是被黑了?”网站出了问题的用户显得格外着急。
小李打开用户的网站主页,发现果然无法访问,页面一片空白,只是显示出如图1的一行英文,果然是受到了黑客攻击:
找到问题
小李当即决定赶到用户现场解决问题,确定网站受到了何种攻击。赶到现场之后,经过简单的测试,他判断用户主页是被进行了SQL注入攻击,因此不能正常访问。
什么叫做SQL注入?其实就是一种利用一些网站程序员在编写代码的时候,没有对用户输入数据的合法性进行判断从而使应用程序存在的安全隐患,提交一段数据库查询代码,从而获得某些非公开数据的黑客攻击行为。也就是所谓的SQL Injection。
于是小李利用专业的工具,对用户的网站进行了风险评估。结果不出所料,用户的网站存在着不少可以被黑客们利用的漏洞。
首先小李使用专业的测试工具,对网站进行了测试评估,评估结果如图:
从工具测试来看,此网站共有6个SQL注入点,48个 跨点攻击点!因此这个网站存在着很大的安全风险,需要立即对代码的安全加固进行防御,以保证网站的安全。
解决问题
随后,冠群金辰工程师对用户网站代码进行了人工分析,针对SQL的注入点进行查找,通过对数据库进行分析,发现早在2月份,用户的数据库已经被进行了SQL注入,以下是通过分析找到的多个表的注入点,如图:
小李很快就将通过SQL注入而被破坏的数据进行了恢复,并且针对检测出来的漏洞,对用户网站进行了全面的安全加固,使网站得以正常访问。而整个过程,从小李来到客户现场之后到最终解决问题,只不过用了区区1小时!
小李告诉用户,SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。直到一段时间之后发现网页不能访问,才会发现网站早已经被侵入。而在发现网站被进行了SQL注入之后,一定要对网站应用程序进行多方面的测试查找,这样才能找到注入点,并对网站进行全面加固。
想要避免网站受到SQL注入,冠群金辰工程师有以下安全建议:
1. 建议关闭或删除不必要的交互式提交表单页面,因为他们是黑客进行SQL注入的途径,关闭这些交互式页面可有效的阻止某些XSS跨站脚本的攻击与注入。而最有效的防治注入及跨站脚本攻击的方法,是在代码层就屏蔽掉不安全的script等危险字符。
2. 对漏洞注入点相关代码进行代码及SQL注入关键字的过滤,以规范代码安全性。
3. 不要在服务器端放置备份的文件以免受到感染,或备份的文件含有漏洞,造成切入点,比如index1.asp index2.asp products1.asp等。
冠群金辰网站安全解决方案
传统单一的网关设备(如防火墙)所能解决的是在边界进行数据包的过滤,而不能对所嵌入的恶意内容进行识别,这也是目前SQL注入、cc、溢出攻击肆意泛滥的一个重要原因,针对于此冠群金辰研发了web安全网关。
该产品为用户提供一体化的全面解决方案,集主动防御和被动防御与一身,对攻击者入侵的各个阶段都有相应的防御手段,恶意攻击者将无从下手;一旦网站被攻破,相对应的防篡改功能将彻底解决最后的威胁,保证用户网站内容的合法性;提供全面的网络保护;和高效的投资保护。
冠群金辰全球反病毒监测网介绍:
1999年,冠群金辰通过与国际企业合作,斥资1000万美元,在全球44个国家建立了170多个病毒监测机构,构建全球计算机病毒监测网,从而实现在全球范围内监测、掌握最新病毒发展信息,并适时、快速获取病毒样本。同时依托冠群金辰自身建立的强大产品研发团队,推出相应的解决方案,并快速为全球用户提供在线技术支持与服务。
冠群金辰公司介绍:
冠群金辰软件有限公司成立于1998年,总部设在北京,上海、广州、成都、西安等地设有分支机构,是一家高成长性的信息安全产品及服务提供商。
公司旗下“KILL”品牌的安全产品,由冠群金辰自主研发,拥有全部知识产权和核心技术。经过十年的发展,KILL安全产品已从单一的单机防病毒产品发展成六大类系列产品。2008年7月,冠群金辰公司成为第29界北京奥运会信息网络安全应急保障单位,并全程参与了北京奥运会安全应急保障工作。从2004年至今,KSG安全网关系列产品连续三年市场占有率排名第一。
今天,冠群金辰的“KILL”系列产品已成功地运行在政府、军队、金融、电信、能源、企业、教育等众多关键网络系统上。秉承国家“积极防御、综合防范”的信息安全指导思想及等级保护制度要求和理念,冠群金辰将致力于将国际和国内信息安全标准和最佳实践的精髓恰当地移植给客户。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者