WEB版IDS抵御WEB攻擊

IDS是英文“Intrusion Detection Systems”的縮寫， 中文意思是“入侵檢測(cè)系統(tǒng)”。 傳統(tǒng)的IDS是一個(gè)監(jiān)聽設(shè)備， 這個(gè)設(shè)備通過網(wǎng)絡(luò)鏈路掛接在服務(wù)器和客戶端所有流量都必須流經(jīng)的鏈路上， IDS就是通過特有IDS規(guī)則匹配黑客惡意攻擊入侵行為的流量， 進(jìn)行即時(shí)的監(jiān)測(cè)和報(bào)警。   

　　在歷年來開源的Web程序中， 被披露最多最嚴(yán)重的安全漏洞一直是SQL注射， 為了減少SQL注射漏洞對(duì)各大網(wǎng)站造成的安全威脅， web安全研究組織80SEC在2008年編寫了國內(nèi)第一個(gè)腳本類IDS - MysqlIds， 使用MysqlIds可以更好的、更有效率的幫助網(wǎng)站管理員和程序員抵御和檢測(cè)Sql注射漏洞。  

　　現(xiàn)在流行的技術(shù)大部分是旁路監(jiān)聽， 一般不會(huì)因?yàn)镮DS的性能影響網(wǎng)站正常的訪問流量， 而Mysqlids也是按照類似的思路同樣不會(huì)影響程序的性能。 Mysqlids存在于應(yīng)用程序和數(shù)據(jù)庫操作之間的一個(gè)環(huán)節(jié)， 完全以數(shù)據(jù)庫的語法來分析執(zhí)行的SQL語句， 而不是采用傳統(tǒng)的關(guān)鍵字檢測(cè)的方法， 對(duì)于一些非正常的SQL語句能進(jìn)行阻止并且記錄相關(guān)的信息， 這樣就可以很快地定位程序中存在注射漏洞的地方， 為漏洞的及時(shí)修復(fù)提供必要的信息。  

　　MysqlIds原理 

　　MysqlIds是由PHP編寫的， 通過一個(gè)封裝的安全函數(shù)， 監(jiān)測(cè)程序中運(yùn)行的SQL查詢語句， 針對(duì)黑客經(jīng)常使用的union查詢、select子查詢、不常用的SQL注釋符、文件操作和benchmark等危險(xiǎn)函數(shù)行為進(jìn)行報(bào)警， 這個(gè)IDS是無縫封裝在程序里的數(shù)據(jù)庫操作流程里的， 也就是黑客通過程序漏洞進(jìn)行惡意的SQL注射都能被非常詳細(xì)的監(jiān)測(cè)到， 程序員或者網(wǎng)站站長(zhǎng)甚至能使用IDS發(fā)現(xiàn)自己網(wǎng)站程序中未被察覺的0DAY漏洞。 下面我就分析MysqlIds的部分代碼， 使大家可以從原理上更容易的理解MysqlIds， 我們看看MysqlIds如何監(jiān)測(cè)黑客SQL注入經(jīng)常使用的惡意的聯(lián)合查詢。 部分代碼如下： 

Code highlighting produced by Actipro CodeHighlighter (freeware) 

http://www.CodeHighlighter.com/ 

-->if (strpos($clean, ’union’) !== false && preg_match(’~(^ [^a-z])union($ [^[a-z])~s’, $clean) != 0){ 

$fail = true; 

$error="union detect"; 

} 

　　MysqlIds使用了PHP中strpos函數(shù)來判斷程序執(zhí)行的SQL語句是否存在惡意的SQL注射， 這個(gè)函數(shù)可以高效率的查找指定字符串返回一個(gè)布爾值， 當(dāng)程序執(zhí)行SQL語句中使用聯(lián)合查詢， 規(guī)則條件就開始生效， 啟用preg_match函數(shù)調(diào)用IDS規(guī)則來匹配惡意的聯(lián)合查詢語句， 這個(gè)IDS規(guī)則是精心構(gòu)造的正則表達(dá)式， 類似于大家使用的傳統(tǒng)IDS規(guī)則， 由于MysqlIds是在程序的數(shù)據(jù)庫操作層來檢測(cè)， 所有能抓取到有效且實(shí)實(shí)在在的安全問題， 且更有效更具有針對(duì)性。 MysqlIds還針對(duì)程序運(yùn)行的SQL語句出現(xiàn)的異常情況進(jìn)行了監(jiān)控， 如SQL語句中出現(xiàn)異常的注釋符， 一般黑客進(jìn)行SQL注射攻擊， 很多情況下需要注釋符完成SQL注射攻擊的SQL語句， 同時(shí)黑客還有可能使用一些比較危險(xiǎn)的MYSQL函數(shù)和功能， 如sleep、benchmark、load_file和into outfile功能等， 這些黑客在程序中使用SQL注射的惡意動(dòng)作都能被MysqlIds監(jiān)測(cè)到。 　MysqlIds與傳統(tǒng)Web安全防御措施的區(qū)別  

　　傳統(tǒng)的Web安全防御措施都非常滯后， 在Web程序里未知的漏洞被攻擊的情況下， 管理員往往要排查很多東西才能找到問題的關(guān)鍵點(diǎn)， 有的時(shí)候可能是使用的程序中存在一個(gè)未知的SQL注射漏洞被黑客利用， 卻無法確定黑客是如何攻擊， 而導(dǎo)致整個(gè)網(wǎng)站一而再， 再而三的淪陷。 合理地部署Mysqlids后， 就可以幫助管理員第一時(shí)間準(zhǔn)確的定位網(wǎng)站的Web程序漏洞， 關(guān)鍵在于MysqlIds核心的日志功能， 它能準(zhǔn)確的將每次精確匹配報(bào)警后的信息存入日志， 代碼如下： 

Code highlighting produced by Actipro CodeHighlighter (freeware) 

http://www.CodeHighlighter.com/ 

-->if (!empty($fail)) 

{ 

fputs(fopen($log_file,’a+’)," $db_string $error\r\n"); 

die("Hacking Detect 

http://www.80sec.com"); 

} 

else { 

return $db_string; 

} 

} 

　　當(dāng)程序的SQL語句被監(jiān)測(cè)到惡意行為后， 會(huì)打開相應(yīng)條件語句里的fail開關(guān)， 也就是觸發(fā)監(jiān)測(cè)后根據(jù)信息會(huì)留下一條精確的日志信息。 管理員排查日志就能精確定位程序中的SQL注射漏洞。  

　　如何部署MysqlIds 

　　MysqlIds暫時(shí)只支持PHP+MYSQL架構(gòu)的Web程序， 作為開源程序和其原理的靈活性， 大家可以很方便將MysqlIds和自己程序無縫結(jié)合。 比如國內(nèi)站長(zhǎng)采用比較廣泛的一款PHP建站程序DeDecms， 在DeDecms歷史版本中被披露過很多安全問題， 其中SQL注射是其安全問題中危害最大也最多的問題。 為了解決SQL注射問題， DedeCms在其發(fā)布的最新版中的數(shù)據(jù)庫類中封裝了80sec的Mysqlids， 以用來抵御和檢測(cè)Sql注射漏洞。 我們可以參考DeDecms的MYSQL數(shù)據(jù)庫類， 將MysqlIds部署在程序中： 

　　\include\dedesql.class.php 

　　DeDecms的MYSQL數(shù)據(jù)庫類161行的ExecuteNoneQuery函數(shù)封裝了MysqlIds， 程序運(yùn)行的SQL語句在進(jìn)入MYSQL查詢之前都會(huì)使用MysqlIds的CheckSql函數(shù)處理。  

Code highlighting produced by Actipro CodeHighlighter (freeware) 

http://www.CodeHighlighter.com/ 

-->if($this->safeCheck) CheckSql($this->queryString,’update’); 

return mysql_query($this->queryString,$this->linkID); 

　　腳本類IDS展望 

　　近年來大家對(duì)安全越來越重視， Web程序的開發(fā)也越來越多的考慮程序的安全性， 腳本類IDS作為一種花銷很小當(dāng)最有效的安全措施值得大力推廣， 也許以后的WEB程序在開發(fā)之初就會(huì)將這類腳本IDS的概念設(shè)計(jì)在自己的程序中， 那么大家只需要打開程序中的一個(gè)設(shè)置開關(guān)就能被實(shí)時(shí)保護(hù)， 并能最準(zhǔn)確的定位安全問題。 目前MysqlIds在80SEC的官方網(wǎng)站上仍然是1.0版， 希望他們以后能提供功能更強(qiáng)大腳本IDS， 同時(shí)感謝80SEC給我們帶來的全新WEB安全概念。  

　　MysqlIds下載： 

　　http://www.ixpub.net/thread-900711-1-1.html