SQL注入技術(shù)和跨站腳本攻擊的檢測(cè)

第第頁SQL注入技術(shù)和跨站腳本攻擊的檢測(cè)這個(gè)規(guī)則首先留意=號(hào)或它的hex值(%3D)，然后考慮零個(gè)或多個(gè)除換行符以外的任意字符，最后檢測(cè)單引號(hào)，雙重破折號(hào)或分號(hào)。

典型的SQL注入會(huì)嘗試圍繞單引號(hào)的用途操作原來的查詢，以便得到有用的價(jià)值。討論這個(gè)攻擊一般使用1’or’1’=’1字符串.但是,這個(gè)串的偵查很容易被逃避，譬如用1’or21--.然而唯一恒定的部分是最初的字符的值，跟隨一單引號(hào)，再加’or’。隨后的布爾邏輯可能在一定范圍上變化，可以是普通樣式也可能是非常復(fù)雜的。這些攻擊可以相當(dāng)精確被偵測(cè)，通過以下的正則表達(dá)式。2.3章節(jié)講解。

2.3典型的SQL注入攻擊的正則表達(dá)式

/\w*((\%27)|(\’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

解釋:union-union關(guān)鍵字

可以同樣為其他SQL查詢定制表達(dá)式，如select,insert,update,delete,drop,等等.

如果，到這個(gè)階段，攻擊者已經(jīng)發(fā)現(xiàn)web應(yīng)用程序存在SQL注入漏洞，他將嘗試?yán)盟?。如果他認(rèn)識(shí)到后端服務(wù)器式MSSQLserver，他一般會(huì)嘗試運(yùn)行一些危險(xiǎn)的儲(chǔ)存和擴(kuò)展儲(chǔ)存過程。這些過程一般以‘sp’或‘xp’字母開頭。典型的，他可能嘗試運(yùn)行‘xp_cmdshell’擴(kuò)展儲(chǔ)存過程（通過SQLServer執(zhí)行Windows命令）。SQL服務(wù)器的SA權(quán)限有執(zhí)行這些命令的權(quán)限。同樣他們可以通過xp_regread,xp_regwrite等儲(chǔ)存過程修改注冊(cè)表。

2.5檢測(cè)MSSQLServerSQL注入攻擊的正則表達(dá)式

/exec(\s|\+)+(s|x)p\w+/ix

解釋:

exec-請(qǐng)求執(zhí)行儲(chǔ)存或擴(kuò)展儲(chǔ)存過程的關(guān)鍵字

(\s|\+)+-一個(gè)或多個(gè)的空白或它們的http等值編碼

(s|x)p-‘sp’或‘xp’字母用來辨認(rèn)儲(chǔ)存或擴(kuò)展儲(chǔ)存過程

\w+-一個(gè)或多個(gè)字符或下劃線來匹配過程的名稱

3.跨站腳本(CSS)的正則表達(dá)式

當(dāng)發(fā)動(dòng)CSS攻擊或檢測(cè)一個(gè)網(wǎng)站漏洞的時(shí)候,攻擊者可能首先使簡(jiǎn)單的HTML標(biāo)簽如b(粗體),i(斜體)或u(下劃線)，或者他可能嘗試簡(jiǎn)單的script標(biāo)簽如scriptalert("OK")/script.因?yàn)榇蠖鄶?shù)出版物和網(wǎng)絡(luò)傳播的檢測(cè)網(wǎng)站是否有css漏洞都拿這個(gè)作為例子。這些嘗試都可以很簡(jiǎn)單的被檢測(cè)出來。然而，高明點(diǎn)的攻擊者可能用它的hex值替換整個(gè)字符串。這樣script標(biāo)簽會(huì)以%3C%73%63%72%69%70%74%3E出現(xiàn)。另一方面，攻擊者可能使用web代理服務(wù)器像Achilles會(huì)自動(dòng)轉(zhuǎn)換一些特殊字符如換成%3C、換成%3E.這樣攻擊發(fā)生時(shí)，URL中通常以hex等值代替角括號(hào)。

下列正則表達(dá)式將檢測(cè)任何文本中包含的html的、。它將捉住試圖使用b、u、或script。這正則表達(dá)式應(yīng)該忽略大小寫。我們需要同時(shí)檢測(cè)角括號(hào)和它的hex等值(%3C|)。檢測(cè)hex進(jìn)制轉(zhuǎn)化的整個(gè)字符串，我們必須檢測(cè)用戶輸入的數(shù)字和%號(hào)，即使用[a-z0-9%]。這可能會(huì)導(dǎo)致一些錯(cuò)誤出現(xiàn)，不是大部分會(huì)檢測(cè)到真實(shí)攻擊的。

3.1一般CSS攻擊的正則表達(dá)式

/((\%3C)|)((\%2F)|\/)*[a-z0-9\%]+((\%3E)|)/ix

解釋:

((\%3C)|)－檢查和它hex等值

((\%2F)|\/)*－結(jié)束標(biāo)簽/或它的hex等值

[a-z0-9\%]+－檢查標(biāo)簽里的字母或它hex等值

((\%3E)|)－檢查或它的hex等值

Snort規(guī)則:

alerttcp$EXTERNAL_NETany-$HTTP_SERVERS$HTTP_PORTS(msg:"NIICross-sitescriptingattempt";flow:to_server,established;pcre:"/((\%3C)|)((\%2F)|\/)*[a-z0-9\%]+((\%3E)|)/i";classtype:Web-application-attack;sid:9000;rev:5;)

跨站腳本同樣可以使用imgsrc=技術(shù)。現(xiàn)行默認(rèn)的snort規(guī)則可以被輕易避開。

3.2章節(jié)提供了防止這種技術(shù)的方法。

3.2"imgsrc"CSS攻擊正則表達(dá)式

/((\%3C)|)((\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47))[^\n]+((\%3E)|)/I

解釋:

(\%3C)|)-或它的hex等值

(\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47)-’img’字母或它的大小寫hex等值的變化組合

[^\n]+-除了換行符以外的任何跟隨img的字符

(\%3E)|)-或它的hex等值

3.3CSS攻擊的極端的正則表達(dá)式

/((\%3C)|)[^\n]+((\%3E)|)/I

解釋:

這個(gè)規(guī)則簡(jiǎn)單尋找+除換行符外的任何字符+。由于你的web服務(wù)器和web應(yīng)用程序的構(gòu)架，這個(gè)規(guī)則可能產(chǎn)生一些錯(cuò)誤。但它能保證捉住任何CCS或者類似CSS的攻擊。

一個(gè)不錯(cuò)避開過濾的CSS方法請(qǐng)參考Bugtraq投稿的

/archive/1/272...rchive/1/272037.

但是請(qǐng)注意最后一種極端的規(guī)則將能檢測(cè)這所有的攻擊。

總結(jié):

在這篇文章中，我們提出了不同種類的正則表達(dá)式規(guī)則來檢測(cè)SQL注入和跨站腳本攻擊。有些規(guī)則簡(jiǎn)單而極端，一個(gè)潛在的攻擊都將提高警惕。但這些極端的規(guī)則可能導(dǎo)致一些主動(dòng)的錯(cuò)誤?？紤]到這點(diǎn)，我們修改了這些簡(jiǎn)單的規(guī)則，利用了另外的樣式，他們可以檢查的更準(zhǔn)確些。在這些網(wǎng)絡(luò)應(yīng)用成的攻擊檢測(cè)中，我們推薦將這些作為調(diào)試你IDS或日志分析方法的起點(diǎn)。再經(jīng)過幾次修改后，在你對(duì)正常網(wǎng)交易部分的非惡意應(yīng)答進(jìn)行評(píng)估以后，你應(yīng)該可以準(zhǔn)備的檢測(cè)那些攻擊了。

參考

1.SQLInjection

/papers/SQLInjectionWhitePaper.pdf

2.CrossSiteScriptingFAQ/articles/xss-

faq.shtml

3.TheSnortIDS

4.Perl-compatibleregularexpressions(pcre)

5.Webapplicationproxy,Achilles

3.AdvancedSQLInjec