在Web安全領(lǐng)域中，針對(duì)web漏洞發(fā)起的SQL注射攻擊是最為常見的，為了減少SQL注入漏洞對(duì)各大企業(yè)及網(wǎng)站的影響，我們可以使用MysqlIDS這種腳本類的IDS做出更快更有效的防御。

現(xiàn)在流行的技術(shù)大部分是旁路監(jiān)聽，一般不會(huì)因?yàn)镮DS的性能影響網(wǎng)站正常的訪問(wèn)流量，而使用MysqlIDS也是按照類似的思路同樣不會(huì)影響程序的性能。MysqlIDS存在于應(yīng)用程序和數(shù)據(jù)庫(kù)操作之間的一個(gè)環(huán)節(jié)，完全以數(shù)據(jù)庫(kù)的語(yǔ)法來(lái)分析執(zhí)行的SQL語(yǔ)句，而不是采用傳統(tǒng)的關(guān)鍵字檢測(cè)的方法，對(duì)于一些非正常的SQL語(yǔ)句能進(jìn)行阻止并且記錄相關(guān)的信息，這樣就可以很快地定位程序中存在注射漏洞的地方，為漏洞的及時(shí)修復(fù)提供必要的信息。

使用MysqlIDS原理

MysqlIDS是由PHP編寫的，通過(guò)一個(gè)封裝的安全函數(shù)，監(jiān)測(cè)程序中運(yùn)行的SQL查詢語(yǔ)句，針對(duì)黑客經(jīng)常使用的union查詢、select子查詢、不常用的SQL注釋符、文件操作和benchmark等危險(xiǎn)函數(shù)行為進(jìn)行報(bào)警，這個(gè)IDS是無(wú)縫封裝在程序里的數(shù)據(jù)庫(kù)操作流程里的，也就是黑客通過(guò)程序漏洞進(jìn)行惡意的SQL注射都能被非常詳細(xì)的監(jiān)測(cè)到，程序員或者網(wǎng)站站長(zhǎng)甚至能使用IDS發(fā)現(xiàn)自己網(wǎng)站程序中未被察覺的0DAY漏洞。下面我就分析MysqlIDS的部分代碼，使大家可以從原理上更容易的理解MysqlIDS，我們看看MysqlIDS如何監(jiān)測(cè)黑客SQL注入經(jīng)常使用的惡意的聯(lián)合查詢。部分代碼如下：

if (strpos($clean, 'union') !== false && preg_match('~(^|[^a-z])union($|[^[a-z])~s', $clean) != 0){

$fail = true;

$error="union detect";

}

MysqlIDS使用了PHP中strpos函數(shù)來(lái)判斷程序執(zhí)行的SQL語(yǔ)句是否存在惡意的SQL注射，這個(gè)函數(shù)可以高效率的查找指定字符串返回一個(gè)布爾值，當(dāng)程序執(zhí)行SQL語(yǔ)句中使用聯(lián)合查詢，規(guī)則條件就開始生效，啟用preg_match函數(shù)調(diào)用IDS規(guī)則來(lái)匹配惡意的聯(lián)合查詢語(yǔ)句，這個(gè)IDS規(guī)則是精心構(gòu)造的正則表達(dá)式，類似于大家使用的傳統(tǒng)IDS規(guī)則，由于MysqlIDS是在程序的數(shù)據(jù)庫(kù)操作層來(lái)檢測(cè)，所有能抓取到有效且實(shí)實(shí)在在的安全問(wèn)題，且更有效更具有針對(duì)性。MysqlIDS還針對(duì)程序運(yùn)行的SQL語(yǔ)句出現(xiàn)的異常情況進(jìn)行了監(jiān)控，如SQL語(yǔ)句中出現(xiàn)異常的注釋符，一般黑客進(jìn)行SQL注射攻擊，很多情況下需要注釋符完成SQL注射攻擊的SQL語(yǔ)句，同時(shí)黑客還有可能使用一些比較危險(xiǎn)的MYSQL函數(shù)和功能，如sleep、benchmark、load_file和into outfile功能等，這些黑客在程序中使用SQL注射的惡意動(dòng)作都能被MysqlIDS監(jiān)測(cè)到。

使用MysqlIDS與使用傳統(tǒng)Web安全防御措施的區(qū)別

傳統(tǒng)的Web安全防御措施都非常滯后，在Web程序里未知的漏洞被攻擊的情況下，管理員往往要排查很多東西才能找到問(wèn)題的關(guān)鍵點(diǎn)，有的時(shí)候可能是使用的程序中存在一個(gè)未知的SQL注射漏洞被黑客利用，卻無(wú)法確定黑客是如何攻擊，而導(dǎo)致整個(gè)網(wǎng)站一而再，再而三的淪陷。合理地部署MysqlIDS后，就可以幫助管理員第一時(shí)間準(zhǔn)確的定位網(wǎng)站的Web程序漏洞，關(guān)鍵在于MysqlIDS核心的日志功能，它能準(zhǔn)確的將每次精確匹配報(bào)警后的信息存入日志，代碼如下：

if (!empty($fail))

{

fputs(fopen($log_file,'a+'),"||$db_string||$errorrn");

die("Hacking Detect

[url]http://www.80sec.com[/url]");

}

else {

return $db_string;

}

}

當(dāng)程序的SQL語(yǔ)句被監(jiān)測(cè)到惡意行為后，會(huì)打開相應(yīng)條件語(yǔ)句里的fail開關(guān)，也就是觸發(fā)監(jiān)測(cè)后根據(jù)信息會(huì)留下一條精確的日志信息。管理員排查日志就能精確定位程序中的SQL注射漏洞。

如何部署MysqlIDS

可以使用MysqlIDS的Web程序暫時(shí)只支持PHP+MYSQL架構(gòu)，作為開源程序和其原理的靈活性，大家可以很方便將MysqlIDS和自己程序無(wú)縫結(jié)合。比如國(guó)內(nèi)站長(zhǎng)采用比較廣泛的一款PHP建站程序DeDecms，在DeDecms歷史版本中被披露過(guò)很多安全問(wèn)題，其中SQL注射是其安全問(wèn)題中危害最大也最多的問(wèn)題。為了解決SQL注射問(wèn)題，DedeCms在其發(fā)布的最新版中的數(shù)據(jù)庫(kù)類中封裝了80sec的MysqlIDS，以用來(lái)抵御和檢測(cè)Sql注射漏洞。我們可以參考DeDecms的MYSQL數(shù)據(jù)庫(kù)類，將MysqlIDS部署在程序中：

includededesql.class.php

DeDecms的MYSQL數(shù)據(jù)庫(kù)類161行的ExecuteNoneQuery函數(shù)封裝了MysqlIDS，程序運(yùn)行的SQL語(yǔ)句在進(jìn)入MYSQL查詢之前都會(huì)使用MysqlIDS的CheckSql函數(shù)處理。

if($this->safeCheck) CheckSql($this->queryString,'update');

return mysql_query($this->queryString,$this->linkID);
 

【編輯推薦】

1. 如何構(gòu)建入門級(jí)IDS
2. IDS漏洞分析與黑客入侵手法
3. 測(cè)試評(píng)估IDS的性能指標(biāo)
4. 正確評(píng)估IDS性能的標(biāo)準(zhǔn)與步驟
5. 企業(yè)測(cè)試IDS的四條重要標(biāo)準(zhǔn)