目前,針對應用及其后臺數據庫的應用級入侵已經變得越來越猖獗,如SQL注入、跨站點腳本攻擊和未經授權的用戶訪問等。所有這些入侵都有可能繞過前臺安全系統并對數據來源發起攻擊。
為了對付這類威脅,新一級別的安全脫穎而出,這就是應用安全。這種安全技術將傳統的網絡和操作系統級入侵探測系統(IDS)概念應用于數據庫(即應用)。與通常的網絡或操作系統解決方案不同的是,應用IDS提供主動的、針對SQL的保護和監視,可以保護數以千計的預先包裝或自行開發的Web應用。例如,應用IDS可以監視和防護關鍵的數據,使那些針對數據庫的攻擊,如緩沖區溢出和Web應用攻擊等無法對數據庫造成真正的損害,而且應用IDS還可以對這些事件進行審查。
應用安全與網絡和主機安全之間存在很大的區別。應用是千差萬別的,但攻擊的目標總是相同的,也就是入侵數據庫。由于應用使用SQL與數據庫進行通信,因此好的應用IDS應當能夠解析SQL,并且提供一種能夠理解流量的內容,且又能與應用劃清界線的客觀保護層。
多數應用IDS都有三個組件。第一個是基于網絡或主機的傳感器。網絡傳感器連接到交換機上的一個端口上,該端口的配置決定它可以查看到數據庫內的所有流量。相比之下,主機傳感器直接駐留在應用上。傳感器可以收集SQL交易并對其進行解析,然后決定是否應當針對該流量發出警報。如果有必要發出警告,警告會被傳遞給下一個組件,即控制臺服務器。這臺服務器存儲事件信息,并且是策略配置和升級等傳感器維護活動的中心點。應用IDS中的第三個組件是Web瀏覽器,管理員可以利用它來修改IDS設置、實時監視事件并生成報告。
以SQL注入攻擊為例,攻擊者會試圖繞過Web服務器定義的SQL語句,目的就是要注入自己的語句。假設要輸入的用戶名為Bob,口令為Hardtoguess。
當看到這些輸入的內容后,數據庫就會找到WebUsers 行中與之匹配的內容,然后該應用會對用戶進行驗證。為了入侵數據庫,SQL注入攻擊會欺騙應用,并使之相信自己已經提交了正確的證書。例如,攻擊使用的口令是‘blah’或‘A’=‘A’,因此攻擊時創建的SQL語句可能會是:SELECT * FROM WebUsers WHERE Username=‘Bob’ AND Password=‘blah’ OR‘A’=‘A’。
從邏輯上來分析‘A’=‘A’永遠都是TRUE,而WHERE子句也可以匹配所有的行,就這樣,攻擊者在根本沒有正確用戶名或口令的情況下也能蒙混過關,得到驗證。應用服務器會接受輸入的信息并且允許攻擊者通過。接下來,應用服務器會通過SQL命令從數據庫中請求數據。
如果有了應用IDS,傳感器會收集SQL命令并對其進行解密,然后查看這些命令到底要訪問數據庫中的哪些表和列。利用這種方法,傳感器就可以判斷出到底是正常情況還是一次攻擊行為。如果發現的行為是IDS策略不允許的,傳感器會判斷攻擊的威脅水平并采取適當的措施,通常是向管理員的控制臺和/或通過電子郵件發出警告。
這只是應用層攻擊的一個簡單例子,而且今天的許多公司都在面臨這樣的威脅。通過實施應用級IDS,企業就可以有效地保護易受攻擊的數據,并且將最新的攻擊和威脅拒之門外。
