26基于日志分析的SQL注入攻擊檢測(cè)方法

1、基于日志分析的SQL注入攻擊檢測(cè)方法郭楊民(臺(tái)州學(xué)院 信息技術(shù)中心，浙江 臨海317000)要:通過(guò)分析SQL注入技術(shù)及自動(dòng)化攻由工具的原理.總結(jié)0納了可以用來(lái)檢側(cè)SQL攻擊的些待征。并介紹了利用這些特征通過(guò)分析訪問(wèn)日忐檢葩SQL注入攻擊，發(fā)班漏冏的實(shí)用方法。關(guān)績(jī)?cè)~:攻擊檢側(cè)；日志分析;SQL注入;LoParser中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)同:A文倉(cāng)編號(hào):1672-3708(2007)06-0028-041引言隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，基于WEB的應(yīng)用得到了廣泛的應(yīng)用。近幾年針對(duì)WEB應(yīng)用的攻擊迅速 增加，其中SQL注入攻擊成為相當(dāng)流行的一種攻擊手段。雖然有很多針對(duì)如何防范的SQL的文章已

2、經(jīng)公 布于眾，但仍有很多開(kāi)發(fā)者缺乏足夠的安全意識(shí)，造成開(kāi)發(fā)的WEB應(yīng)用中依然存在漏洞。如何有效的檢 測(cè)攻擊發(fā)現(xiàn)湖洞對(duì)于系統(tǒng)管理員、網(wǎng)站管理員來(lái)說(shuō)就顯得尤其取要。本文通過(guò)分析SQL注入技術(shù)及自動(dòng) 化攻擊工具的原理，總結(jié)歸納了可以用來(lái)檢測(cè)SQL攻擊的些待征。并介紹了利用這些待征通過(guò)分析訪 問(wèn)日志檢測(cè)SQL注人攻擊、發(fā)現(xiàn)漏洞的實(shí)用方法。2 SQL注入簡(jiǎn)介2.1基本原理SQL注入(SQL Injection)一種利用WEB應(yīng)用程序的輸入?yún)?shù)插入SQL語(yǔ)句的一種攻擊手段叫 在基于數(shù)據(jù)庫(kù)的Web應(yīng)用程序中用戶輸入的參數(shù)通常會(huì)被用來(lái)構(gòu)建SQL語(yǔ)句，如果程序未對(duì)輸入的參 數(shù)進(jìn)行右效的處理，比如直接將參數(shù)法入到

3、SQL語(yǔ)句中間,這樣攻擊者就可以將SQL命令作為參數(shù)提交 給程序并被執(zhí)行°利用這一弱點(diǎn)，攻擊者可以通過(guò)構(gòu)造特殊的SQL語(yǔ)句實(shí)現(xiàn)攻擊的R的,其至可以進(jìn)一 步通過(guò)一些數(shù)據(jù)庠管理系統(tǒng)突破獲取操作系統(tǒng)權(quán)限“詳細(xì)的細(xì)節(jié)在SPI實(shí)驗(yàn)室的Kevin Spelt撰寫(xiě)的白 皮書(shū)“SQL注入-你的網(wǎng)絡(luò)應(yīng)用程序是否會(huì)受攻擊?啊中已有全面的介紹，在此就不再贅述。2.2新方法及自動(dòng)化在早期的SQL注人方法中，攻擊者采用導(dǎo)致SQL語(yǔ)法錯(cuò)誤的輸入,導(dǎo)致數(shù)據(jù)庫(kù)執(zhí)行報(bào)錯(cuò)，從服務(wù)器 返回的錯(cuò)誤信息中攻擊者可以獲取到原始程序中的SQL語(yǔ)句結(jié)構(gòu)。對(duì)付這種攻擊典型的防范措施是禁 止服務(wù)器將錯(cuò)誤信息返回給用戶。但是隨若SQL注

4、人技術(shù)的發(fā)展該方法不再有效°肓注(Blind SQL Injection)技術(shù)是 Camron Hotchkies 在 Black Hat USA 2004 大會(huì)上向人們展 示的SQL注人的新F段：:盲注技術(shù)在原有的SQL注入技術(shù)上有了很大的發(fā)展.肓注不再依賴服務(wù)器返回 的錯(cuò)謀倍息,而足通過(guò)探測(cè)頁(yè)血的變化參雖來(lái)判斷SQL注入執(zhí)行結(jié)果，因此即使屏蔽了數(shù)據(jù)庫(kù)的錯(cuò)誤信收稿日期:2(M)7 4M-20;修回日期:2007- II-B作者簡(jiǎn)介:郭揚(yáng)民(1978-) 男浙江臨每人助理1濡帥匸 息注人廉洞還是可以破利用。另外盲注還通過(guò)巧妙地構(gòu)逍SQL語(yǔ)旬實(shí)現(xiàn)了對(duì)數(shù)抿結(jié)構(gòu)及內(nèi)容的探測(cè)，并 利用折半査

5、找算法實(shí)現(xiàn)髙效的杲力窮舉（bnite force）。詳細(xì)的技術(shù)原理可參考Canunn Hotdikies的講 稿國(guó)和SPI實(shí)臉室的技術(shù)白皮書(shū)° Blindfolded SQL Injection"'%盲注技術(shù)的出現(xiàn)使得SQL注入的探測(cè)、攻擊可以實(shí)現(xiàn)自動(dòng)化。目前大多數(shù)SQL注入探測(cè)、攻擊工具 都是利用了該技術(shù)的核心思想動(dòng)化工具的岀現(xiàn)使攻擊的枝術(shù)門檻降低了，也使SQL注入攻擊更加廣 眨和泛濫。然而SQL注人的本質(zhì)是參數(shù)輸入和構(gòu)造SQL語(yǔ)句，需要和股務(wù)器進(jìn)行交互所以還是會(huì)在服 務(wù)器的訪問(wèn)日志中留下蛛絲馬跡。3基于日志分析的攻擊檢測(cè)3.1攻擊特征分析基于對(duì)SQL注人及行注的

6、原理，結(jié)合日志分析的經(jīng)驗(yàn)歸納了四個(gè)雷要的特征，在日志分析中綜合利 用這些特征能夠有效的發(fā)現(xiàn)和監(jiān)測(cè)SQL注入攻擊和存在漏洞的頁(yè)面。3.1.1 GET請(qǐng)求參數(shù)中的空白字符（Whrtespace 由SQL注人攻擊的本質(zhì)可知，攻擊者提交的請(qǐng)求中一定包含著符合SQL語(yǔ)法耍求的SQL語(yǔ)句, SQL語(yǔ)句的語(yǔ)法要求關(guān)健字和參數(shù)之間必須使用空白符分割，因此，在SQL攻擊的請(qǐng)求參數(shù)中必將岀現(xiàn) 空白字符。另外.SQL注人攻擊除了探測(cè)漏洞之外其他步驟（比如探測(cè)字段內(nèi)容）中使用的SQL結(jié)構(gòu)都 楚比較復(fù)雜的，越復(fù)雜的SQ匚語(yǔ)句中空白字符也越多。根抿注人方法中利用的SQL語(yǔ)句恃點(diǎn)，在探測(cè)漏 洞的SQL語(yǔ)句中出現(xiàn)2個(gè)空白字符

7、，在探測(cè)表及字段名稱的語(yǔ)句中至少岀現(xiàn)5個(gè)空白字符，探測(cè)字段尺 度和內(nèi)容的語(yǔ)句中則更多°因此，在請(qǐng)求字符串中出現(xiàn)大量的空白字符是SQL注入攻擊行為的一個(gè)重要 待征。3.1.2實(shí)施攻擊雖少的請(qǐng)求次數(shù)由肓注的工作原理可知攻擊過(guò)程中各個(gè)階段向服務(wù)器發(fā)送請(qǐng)求的最少次數(shù)叫猜測(cè)字段內(nèi)容長(zhǎng)度對(duì) 于常見(jiàn)的64位為最大值的至少需要6次,而針對(duì)內(nèi)容的猜側(cè)一個(gè)字符至少需要8次，即猜測(cè)字段內(nèi)容至 少需要14次。毎一次請(qǐng)求會(huì)產(chǎn)生一條ti志，所以在日志中必將岀現(xiàn)14次以上的帶有多個(gè)空白字符串的 0志記錄。31.3同一個(gè)IP地址集中請(qǐng)求同一個(gè)頁(yè)面SQL攻擊利用的是待定頁(yè)面代碼的漏洞在探測(cè)到湄洞后后繼的攻擊就會(huì)利用該

8、頁(yè)聞進(jìn)行，因此，在 n志統(tǒng)計(jì)中將表現(xiàn)出某個(gè)ip地址對(duì)特宦頁(yè)面的請(qǐng)求數(shù)相當(dāng)高。3.1.4 HTTP響應(yīng)代碼的特征500服務(wù)器內(nèi)部錯(cuò)是SQL注入用來(lái)判斷注入執(zhí)行結(jié)渠是否正確的3：耍依據(jù)°如果存在瀾洞的代碼沒(méi) 有對(duì)數(shù)據(jù)庫(kù)出錯(cuò)進(jìn)行屛蔽或者沒(méi)有正確處理空集的情況.由于SQL攻擊會(huì)通過(guò)構(gòu)適SQL語(yǔ)句并不斷嘗 試，會(huì)在H志中存在很多HTTP響應(yīng)為600的記錄。3.2通過(guò)分析訪問(wèn)日志發(fā)現(xiàn)攻擊和漏洞WEB訪問(wèn)H志詳細(xì)的記錄了客戶行為的詳細(xì)信息，其中cs-uri-queo字段記錄了客戶端使用GET 方法提交的請(qǐng)求參數(shù)。SQL注入大都利用了使用GET方式提交參數(shù)的頁(yè)面、所以披當(dāng)作參數(shù)提交的SQL 語(yǔ)句也被

9、記錄在日志記錄的cs-uri-queryMii分析該字段的中的空白字符待征，并統(tǒng)計(jì)包含該特征的請(qǐng) 求數(shù)和來(lái)源IP,結(jié)合HTTP響應(yīng)代碼500和200的統(tǒng)計(jì)能夠校冇效的檢測(cè)攻擊井發(fā)現(xiàn)漏洞.LogParsc閃是微軟開(kāi)發(fā)的一款功能強(qiáng)大的日志分析工具，利用LogPareer能夠使用類似SQL的語(yǔ) 句方便地査找分析日志記錄我據(jù)前面的分析結(jié)果，用來(lái)檢測(cè)SQL注人瀚洞的査詢語(yǔ)句如下所示；select c-ip, cs-uri-stcm as filcsc-status as status,count(*) as hitsfrom logsex*. logwhere cs-uri-query like * %

10、驗(yàn)0%20%20%group by c-ip, file,statushaving countf*) > 14圖1就是對(duì)一個(gè)網(wǎng)站志實(shí)例的分析結(jié)果。這個(gè)結(jié)果鎚示Placarddetail.asp和detail.asp兩個(gè)頁(yè)面 存在SQL注人涵洞,井受到了攻擊。通過(guò)手工分析該網(wǎng)站的訪問(wèn)日志得出得的結(jié)i侖和這個(gè)結(jié)果一致。另 外在査聞中還對(duì)具有上述特征的記錄根據(jù)HTTP響應(yīng)代碼、客戶端1P地址、被訪問(wèn)的文件進(jìn)行了統(tǒng)計(jì)。 通過(guò)上述斎詢對(duì)實(shí)際網(wǎng)站的H志進(jìn)行分析能夠得到幾個(gè)右用的結(jié)果：1)發(fā)現(xiàn)注入攻擊；2)發(fā)現(xiàn)攻擊來(lái)源 】P：3)發(fā)現(xiàn)存在JB洞的頁(yè)面。c-ipfilestaCushits60.1$O.

11、4.43/Plac&rddctftil.ASPsee3873/Placarddet«il.ASPzoe7712&.lie.715.145/Plac&rddet&il.ASPsee12912S.i27.32.193/Plac&rddetai1.ASP5冊(cè)6S93/Placarddetail.fiSP268IS23/Placarddetail.fiSP期22993/detail.fiSPsee583Stat 1stice:Elements processed:

12、218039Elements output： 7Execution tine： 2.92 seconds®1 一個(gè)被攻缶網(wǎng)站的日上分析結(jié)果4總結(jié)在實(shí)踐中利用該方法能夠較有效的檢測(cè)到攻擊悄況和存在漏洞的頁(yè)面。SQL注入攻擊本質(zhì)利用的娃 編程中的漏洞，因此在程序編制過(guò)程加強(qiáng)安全意識(shí)，嚴(yán)格檢奩用戶提交的參數(shù)才是防止攻擊的根本解決參考文獻(xiàn)；(1 Anley C. Advanced SL IiUztion In SQL Server Applications. 3002.http:/www. ngssoftware, com/paperaadvaiiced sql iqjectioin. p&

13、lt;if,An NGSSoftware Insight Security Pcsarch (NISR) Publication? 2002.(2 Kein Spett Sql Injection： Are Your Wob Applications Vulnerable, 2002. httpz/A(3 Camron Ilotchkies Blind SQL Iiuection Automadon Tectuuques, 2(X>4, http;/wMwblackhatcom/html/bh-media- archivos/bh-areh»v-2004htmJ#USA-200

14、4.4 0fer Maor, Amicliai Shulman.Blindfolded SQL Injection.httpJ/ server irvection.htnii.(5 Gabriele Giuseppini, Mark Burnett Microsoft Log Parser Toolkit (M). Syngress PubUshingJnc.,2004.A Log-Analysis Based SQL Injection Detection MethodGUO Yang-min(Infonnation Center, Taizhou University, linhai 31

15、7000, China)Abstract; In this paper, SQL kyection Techniques and SQL Injection Automated Techniques were discussed in detail The features of SQL Iijection attack were summarized. And a log-analysis based method for detecting SQL Injection Attacks was introduced.Key words; Log-Analysis； SQL Injection

16、; Attack detection; LogParaer(貴任編輯:耿繪祥)(上接第23貞)形的寬度和爲(wèi)度，中心位宣不變。使之BI蓋整個(gè)鏡頭臨面,對(duì)這個(gè)圓形做形狀漸變切呱然 后,設(shè)豈亮點(diǎn)層為遮罩層,鏡頭畫(huà)面層為被遮罩層3參考1 彭聲澤.FLASH MX中視頻快慢橈頭恃效的實(shí)現(xiàn)J,教育信息化,2005,(5);78-尬2 速塑圖15部.FLASH動(dòng)沒(méi)大師M.北京;人民交通出版社.2005.3 張弓，汪沆動(dòng)浸藝術(shù)教程ML北京活華大學(xué)出版tt.Z0O2.4周謙計(jì)算機(jī)動(dòng)畫(huà)關(guān)健幅插補(bǔ)技術(shù)徐述冏.電肪域識(shí)與技術(shù),2007, (l);220-22L.5龔花蘭.基于FLASH探究MTV制作的關(guān)鍵技術(shù)J電諂學(xué)

17、習(xí),2006,：55-56.A Brief Analysis of Shot and Connection Skill of the Flash Cartoon Design MVMA Hai-yan, IJ Xi-wen, GUO Wen-ping(School of Mathematics and Information Engineering,Taizhou University, Lanhai 317000,China)Abstract: Flash cartoon product, made up of many shots. Tells a stay in script throu

18、gh the picture shots and scene changes. The paper deals with questions like how to construct the lcits pictures and how to connect these shots and kt them have a strong visual express power. It, in the light of foundation animation theory, also studies the mor visual factor of shot the characteristics of