科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全梭子鱼WEB应用防火墙数据防泄露实战案例系列(一)

梭子鱼WEB应用防火墙数据防泄露实战案例系列(一)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文将具体探讨数据泄露是如何发生的,我们获得了哪些启示,以及梭子鱼Web应用防火墙会如何阻止正在进行的应用层攻击并有效防止进一步破坏。

来源:ZDNET安全频道 2012年2月8日

关键字: 数据泄露 Web应用防火墙 梭子鱼

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

  引言

  在如今这个Web 攻击已经实现自动化的时代,管理员对网站的安全保护不能有丝毫松懈 。2011年4月9日,置于“被动模式”(只监控对网站的访问)的梭子鱼Web应用防火墙详细记录了黑客侵入一家公司市场部数据库的全过程。分析显示,该次攻击最有可能是那些犯罪意图不明显的灰帽子黑客所为。本文将具体探讨数据泄露是如何发生的,我们获得了哪些启示,以及梭子鱼Web应用防火墙会如何阻止正在进行的应用层攻击并有效防止进一步破坏。

  Web 应用的设计保证了数据能够透明地穿过网络防火墙,因此传统的四层网络防火墙无法检测并阻止七层(应用层)的攻击;然而,许多组织都还没有充分意识到四层安全措施已经不能满足当前的需求,从而使得这些组织极易受到针对各种应用的攻击。

  不管动机如何,针对 Web 应用的攻击,尤其是 SQL 注入攻击,都被证明是渗透网络并窃取数据的最有效途径:

  · Web 应用攻击仅占全部数据泄露事件的 54%,但被窃取的数据占92%

  · SQL 注入攻击仅占 Web 应用攻击的25%,但是被窃取的数据占89%

  数据泄露事件说明

  此次数据泄露事件的主要原因有以下几点:

  1. 网站的PHP 代码存在错误

  2. 原本应定期进行的代码漏洞扫描被忽略,导致没有及时发现PHP代码问题

  3. 网站维护人员没有开启梭子鱼Web应用防火墙的安全防护功能

  对有漏洞的代码未加以保护,受到攻击只是个时间问题。根据梭子鱼Web应用防火墙的记录和报告,攻击是这样发生的:

时间

描述

2011-04-10 00:07:59 GMT

第一个IP开始对网站主页进行探测

2011-04-10 00:16:15 GMT

攻击者在尝试了175个URL后找到了存在漏洞的URL,开始探测数据库

2011-04-10 03:10:43 GMT 

第二个IP地址开始对存在漏洞的URL进行探测

2011-04-10 10:10:00 GMT 

攻击开始,黑客试图检索数据库用户

2011-04-10 10:16:00 GMT 

攻击者放弃针对用户的攻击,转而尝试获取数据库的列表(list)和架构(schema)

2011-04-10 10:19:00 GMT 

攻击者开始盗取数据

2011-04-10 17:30:00 GMT

我们发现了网站被攻击

2011-04-10 17:37:00 GMT

我们发现梭子鱼WEB应用防火墙针的防护功能没有开启

2011-04-10 17:39:59 GMT

我们开启梭子鱼WEB应用防火墙的防护功能, 此后没有再发现任何攻击行为发生

2011-04-10 21:00:00 GMT 

源自这些IP地址的攻击不再进行停止

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章