破解CSDN泄密门：原理剖析与破解攻略

　　三、阻击SQL注入漏洞——详述磐迅应用安全网关解决方案

　　其实针对SRL注入漏洞已经有很多解决方案进行阻击，以下就清华同方磐迅应用安全网关解决方案进行详细拆解。

　　磐迅应用安全网关针对防火墙和UTM的问题，实现透明串入在防火墙、UTM、负载均衡设备之后，或使用WCCP协议旁路在交换机同级，在内容过滤方面保护信息系统的访问安全。

　　由于和防火墙等设备连动可以有效的避免数据传输中七个层间的所有问题，同时在应用方面应用了先进技术架构，避免了UTM性能不足的尴尬。具体到SRL注入漏洞，磐迅应用安全网关主要有三种安全解决方案进行阻击，它们各有优缺点，对于厂商和政府来说可具体考虑用那种方案。

　　解决方案一：使用黑盒测试程序检测网站安全性问题，然后连同程序员一起分析修改源程序，重新编译再发布。

　　清华同方专家认为此方案最大的优点是发现问题并彻底解决问题。

　　但是同样有一些不足：例如费用和时间成本昂贵。不确定是否能发现所有问题、检测费时、修复费时、容易引起非授权的其他修改、容易改错、修复问题再检测还要重新检测功能和性能、跟不上业务升级需求的时间、发生问题时会影响业务的连续性。

　　对已经被攻陷的系统，如不及时中断服务可能会引起更严重的安全事件、可能在安全事件暴露前已经引发黑客攻击，潜在存留了各种其他层面的安全问题，如，增加隐藏帐号、增加了端口反弹器、重定向了操作系统权限、篡改了数据包信息、监听了内部消息等。

　　此外，在实际实施过程中也遇到一些问题：

　　程序研发人员的岗位变动和时间间隔，基本造成原有代码很难处理，重新开发又受限于业务逻辑要重新整理，没有完善的文档和研发管理者，很难修复系统。

　　解决方案二、在服务器上安装软件应用防火墙，代理访问服务分析协议中止SQL注入攻击。

　　清华同方专家认为此方案的特点是发现问题并非彻底解决问题，费用少、速度快能及时阻断黑客攻击。但它不能彻底的解决问题，只是建立了防御系统，问题本身还要结合第一种方案来修复。部署在服务器上的软件受到操作系统的安全性影响，同时受到拥有操作系统维护权限人员的影响风险比较高，受误操作、系统兼容性和软件兼容性影响较大，内存管理方面优先级和分配成为制约，处理性能较差，维护复杂。

　　在实际实施中遇到的问题是找不到针对该操作系统和服务器程序的专用程序，管理人员较多篡改了合理设置而难以追究，已经被攻击过的系统很难根除黑客进入的途径。

　　解决方案三、在防火墙后面串入或旁路应用安全网关，代理访问服务分析协议中止SQL注入攻击。

　　这套解决方案配置很简单，管理灵活，性能满意。

　　清华同方专家认为主要有以下的特点：

　　A、依据ISO17799标准和OWASP制定的防御注入模块，彻底发现问题并非彻底解决问题，速度快及时阻断黑客攻击，解决陷落系统的综合安全问题和可能存在的应用威胁，全面阻断黑客的攻击手段，防止维护程序和发布的人员篡改安全基线。

　　B、除SQL注入攻击外，还可以防网页篡改、防跨站脚本、防远程执行、防应用提权、防病毒恶意软件、防木马、防网马、防垃圾邮件、防钓鱼网站、防关键内容泄密。

　　C、基于通讯协议工作，支持电脑、手机、Windows、安卓、苹果，支持互联网、3G移动互联网、局域网和私有网络等的硬件、操作系统和网络的安全过滤。

　　D、针对协议进行内容审核，采集样本精确，检测比对详细，威胁指纹丰富并及时快速更新，历史数据加速，处理性能较高，维护简单，整体成本较低。

　　E、减少其他维护的难度，支持IP、MAC透明代理，支持分段IP地址策略分级，定制化策略，提供租用管理的可能。

　　F、产品软件和硬件结合的产品可最大优化计算能力。高效及时的解决上线系统和刚上线系统的保护，为CSO赢得上线时间，赢得问题修复时间。

　　这套解决方案的主要问题是一次性硬件投入较大，但可通过服务公司转化成租用服务，或与电信公司合作转化成租用服务。每年有服务续约费用。

　　四、SQL注入漏洞带来的警示

　　通过以上拆解可以看到，SQL注入攻击是找开通向数据库的钥匙。它给企业和政府带来了众多的警示，清华同方的专家认为主要有以下三方面：

　　1、网站和云计算服务商的安全急需依据标准构建

　　网站、云计算应当仔细的保护好自己的数据库系统，防止黑客从合法协议、端口和授权中获得非授权内容。国际上很早就对信息安全有了明确的安全标准，如著名的ISO17799、ISO27001以及OWASP等。在物联网、云计算、私有网行业盛行的今天，信息安全的问题尤为重要。如果由信息系统控制的生产系统受到黑客的攻击、破坏或篡改，会造成社会不安定不和谐的因素。并且很多攻击，从SQL注入入手，还会延伸到发生病毒、垃圾邮件、钓鱼网站和欺骗等等问题。

　　2、防火墙的无力

　　防火墙技术主要是解决开放端口，只对通讯协议是否可以使用起作用，而不去管理协议中的内容是否有杂质，就防堤坝一样，指定端口的数据通过时，是否存在泥沙并不进行处理。

　　SQL注入攻击的防御就像在合法端口中建立起来详细的安全审核制度，防止那些不规范的代码被黑客利用。这种防御就如同在堤坝通过的流量中加入了更细的过滤网，把威胁从中过滤。

　　本次“密码门”事件主要问题就出在服务器端，而非防火墙。

　　3、现有防御系统的问题

　　下图为目前企业基本的防御系统：

　　这样的安全方案只能防御下三层的数据安全以及传输过程中的加密，但如果在授权协议内进行SQL注入攻击，这样的系统则不能防御，无法保护数据库和应用服务器。因为SQL注入攻击后，马上可以通过合法端口穿越防火墙，控制内部系统。而在内部系统基本是非常脆弱的，而且对用户端的保护投入较高。

　　如果使用防火墙，首先没有办法防御SQL注入攻击，同时在内部安全方面投入巨大。要划分详细的VLAN以及详细的管理每一台服务器自身的防火墙系统。对服务器内使用的所有应用都要详细审核，以及建立内部详细的防毒系统等。

　　结语：但凡因漏洞而导致的问题，通常都伴随着对一些问题的疏忽，或者是技术的疏忽，或者是管理上的疏忽，简言之就是自己出问题了。因此，战略上藐视而战术上必须重视这些问题，否则正所谓防不胜防，而最致命、最难防的还是自己的疏忽。

　　没有无漏洞的系统，也没有无漏洞的网络，天下无贼只是一种理想的境界，因此时时将信息安全放于心中，放到实际行动当中，找寻到最佳的解决方案才可能将危险降到最低，甚至杜绝这种危险。