科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道数据安全数据库安全审计应用实践——追查数据库SQL注入30小时

数据库安全审计应用实践——追查数据库SQL注入30小时

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

历经30多小时,某电子商务行业用户终于查清了一次数据库SQL注入的始末,并进行了深刻的总结。启明星辰数据库审计专家也给出了专业的点评。

来源:ZDNet安全频道 2013年7月22日

关键字: 启明星辰 ORACLE 数据库审计 SQL注入 安全漏洞

  • 评论
  • 分享微博
  • 分享邮件

ZDNET安全频道 07月22日 综合消息: 

事件过程

2012年10月19日上午,同事在日常巡检时发现一套对外服务的电子商务系统后台Oracle数据库中出现了一个名为zwell的用户,并且,该用户具有DBA权限。

按照管理规定,所有的Oracle数据库均有DDL触发器,查看触发器发现:

1CREATE ZWELL CREATE USER zwell IDENTIFIED BY ******* WD_WEB 2012/9/7 13:53:59 11028547 FALSE SYSTEM 5 WD_WEB 57 ptserver8 10.x.x.x tcp DATABASE

1WD_WEB 12200617 ROLE PRIVILEGE GRANT 2012/10/9 15:38:20 10.0.8.10 grant dba to zwell

此用户在2012/9/7 13:53:59,通过CREATE USER zwell IDENTIFIED BY ******* SQL语句创建,发出此SQL的服务器为WEB服务器集群第8台(ptserver8),IP地址为WEB集群F5接口地址(10.x.x.x)。并且,在2012/10/9 15:38:20,通过grant dba to zwell SQL语句,将zwell用户提升为DBA权限。

此用户已建立了1个多月,例行检查只检查拥有DBA权限的用户,导致此用户被建立很长时间后才被发现。

通过对WEB服务器的apache日志进行检查,在2012/9/7 13:53:59秒前后有大量的SQL注入行为,发出SQL注入入侵的源IP(113.71.184.32)属于广东省佛山市电信(如图1所示)

追查数据库SQL注入30小时

图1

但由于apache日志记录时间顺序问题,导致当时并未找到SQL注入的对应日志。

10月19日下午,紧急对此电子商务网站进行应用漏洞扫描,发现高危漏洞。

10月19日夜间, 鉴于短时间内无法确认被入侵途径及目的,经多方商议,建议先进行如下处理:

1.应用系统数据库用户存在IMP_FULL_DATABASE权限,而此权限应为过度授权,拥有此权限则可创建用户。进行权限收回。

2.尽快修改数据库账户密码,以及相关操作系统密码。

3.将数据库版本由10.2.0.1升级至10.2.0.5。

4.对数据库内关键信息进行审计。

10月20日早晨,对apache日志进行仔细检查后,确认此次入侵为SQL方式入侵,入侵入口为/service/service.do盲注方式,发出SQL注入入侵的源IP(119.57.81.78)属于北京市东四IDC机房。

2012年10月20日下午,再次检查发出创建用户SQL的ptserver8服务器的apache日志,发现了与创建用户对应的日志信息(如图2所示)。

追查数据库SQL注入30小时

图2

追查数据库SQL注入30小时

图3

创建用户操作也是通过/service/service.do进行SQL注入,至此,整个入侵流程均已查清。

事件分析

在此次安全事件中,黑客使用WEB页面的盲注漏洞,采用SQL注入的方式创建了zwell用户,并且利用了Oracle 10.2.0.1的提权漏洞,赋予zwell用户DBA权限。

经验教训

1.WEB应用应进行完善的代码检查,避免SQL注入漏洞

有很多方法可以避免SQL注入漏洞,比如,最常见的,使用绑定变量,但由于此应用程序为外包开发方式,供应商之前已开发了一套基础版本,此版本为基础版本的升级版本,因此,基础版本存在的问题也一并带入了生产环境,导致此漏洞的存在。

2.未进行完善的代码安全检查

目前有很多工具可以对应用进行安全检查,类似的SQL注入型漏洞一般都可以检查出来,但由于仓促上线,经验也不够丰富,因此,导致应用带着漏洞上线。

3.数据库版本未升级

这是一个典型的问题。数据库版本过低导致存在提权漏洞,如果数据库打了补丁,至少不会导致zwell用户被提升权限。

4.日常检查不够全面

只对拥有DBA权限的用户进行检查,导致被攻击后很长时间才发现攻击行为。

5.保留日志

对于WEB应用,日志是很有必要进行保留的,如果日志没有被改动,基本都可以从日志中重现整个安全事件的完整过程。

6.即使能够查到来源IP,此IP往往也是肉机IP,比如,在此次事件中,两次行为应是同一人完成,但创建用户的来源IP为广东省佛山市电信,提权IP为北京市东四IDC机房。

启明星辰公司数据库审计专家点评

数据库的风险主要来源于两个方面,一个是外部攻击,另一个是内部人员(有权限人员)的违规操作(故意或者无意),本文案例就是外部人员攻击的一个典型过程。具体步骤是:通过应用系统漏洞进行攻击,建立账户,再利用本地漏洞提权,然后利用高权限用户进行系列违法操作。

从上面的案例可以看到,要保证数据库安全,除了数据库系统自身安全之外,应用系统的安全也需要一并考虑。不仅要对数据库系统进行安全加固和严格的权限控制,对于应用系统也要进行代码漏洞检查、入侵防护,建议在安全建设时,除了要进行数据库的权限控制、数据加密、安全审计之外,对于应用服务器的代码检查、入侵防御等措施也要考虑,可适当部署一些常用的安全产品,包括:数据库加密、数据库审计、WEB应用防火墙、入侵检测等。


 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章