通過(guò)分析關(guān)于互聯(lián)網(wǎng)攻擊增長(zhǎng)的幾個(gè)潛在因素，提到了關(guān)于個(gè)人信息已被明碼標(biāo)價(jià)在互聯(lián)網(wǎng)上進(jìn)行非法購(gòu)買(mǎi)，而更多的黑客開(kāi)始將精力投入到企業(yè)網(wǎng)站攻擊這樣的一個(gè)高回報(bào)率的攻擊行為中。也提到了關(guān)于web應(yīng)用防火墻對(duì)于保護(hù)企業(yè)網(wǎng)站和防止數(shù)據(jù)竊取方面的獨(dú)到之處。今天我們就通過(guò)一個(gè)攻擊實(shí)例來(lái)具體了解攻擊是怎么發(fā)生的，又是如何進(jìn)行數(shù)據(jù)竊取。另外，部署專(zhuān)業(yè)的web應(yīng)用防火墻加上嚴(yán)格的安全管理策略才能真正為企業(yè)提供細(xì)致到位的安全防護(hù)。

 

文中引用的攻擊實(shí)例發(fā)生在一家國(guó)外已部署WEB應(yīng)用防火墻產(chǎn)品的企業(yè)，由于處在網(wǎng)絡(luò)調(diào)整階段，所以防火墻被臨時(shí)置于“被動(dòng)模式”（被動(dòng)模式：只監(jiān)控并記錄對(duì)網(wǎng)站的訪問(wèn)，任何攻擊防護(hù)都未啟用），正是由于一時(shí)的疏忽，給黑客侵入該公司市場(chǎng)部數(shù)據(jù)庫(kù)制造了機(jī)會(huì)。分析顯示，發(fā)起該攻擊的黑客采用了多項(xiàng)應(yīng)用攻擊手段，并且從亞洲和歐洲兩個(gè)區(qū)域分別發(fā)起攻擊。竊取了一部分資料，由于企業(yè)及時(shí)發(fā)現(xiàn)了攻擊行為，并將防火墻恢復(fù)到了主動(dòng)模式（主動(dòng)模式：監(jiān)控記錄對(duì)網(wǎng)站的訪問(wèn)，并且提供安全防護(hù)），沒(méi)有造成更嚴(yán)重的數(shù)據(jù)泄漏。

 

小貼士1：Web 應(yīng)用的設(shè)計(jì)保證了數(shù)據(jù)能夠透明地穿過(guò)網(wǎng)絡(luò)防火墻，因此傳統(tǒng)的四層網(wǎng)絡(luò)防火墻無(wú)法檢測(cè)并阻止七層（應(yīng)用層）的攻擊；然而，許多企業(yè)都還沒(méi)有充分意識(shí)到四層安全措施已經(jīng)不能滿(mǎn)足當(dāng)前的需求，從而使得這些企業(yè)極易受到針對(duì)各種應(yīng)用的攻擊行為。 

 

小貼士2：不管動(dòng)機(jī)如何，針對(duì) Web 應(yīng)用的攻擊，尤其是 SQL 注入攻擊，都被證明是滲透網(wǎng)絡(luò)并竊取數(shù)據(jù)的最有效途徑：

Web 應(yīng)用攻擊僅占全部數(shù)據(jù)泄露事件的 54%，但被竊取的數(shù)據(jù)占92％

SQL 注入攻擊僅占 Web 應(yīng)用攻擊的25%，但是被竊取的數(shù)據(jù)占89%

 

數(shù)據(jù)泄露事件說(shuō)明：

 

此次數(shù)據(jù)泄露事件的主要原因有以下幾點(diǎn)：

1. 網(wǎng)站的PHP 代碼存在錯(cuò)誤

2. 原本應(yīng)定期進(jìn)行的代碼漏洞掃描被忽略，導(dǎo)致沒(méi)有及時(shí)發(fā)現(xiàn)PHP代碼問(wèn)題

3. 網(wǎng)站維護(hù)人員沒(méi)有開(kāi)啟Web應(yīng)用防火墻的安全防護(hù)功能

對(duì)有漏洞的代碼未加以保護(hù)，受到攻擊只是個(gè)時(shí)間問(wèn)題。根據(jù)Web應(yīng)用防火墻的記錄和報(bào)告，攻擊的過(guò)程記錄如下：

 

時(shí)間                                         描述

2011-04-10 00:07:59 GMT 第一個(gè)IP開(kāi)始對(duì)網(wǎng)站主頁(yè)進(jìn)行探測(cè)

2011-04-10 00:16:15 GMT 攻擊者在嘗試了175個(gè)URL后找到了存在漏洞的URL，開(kāi)始探測(cè)數(shù)據(jù)庫(kù)

2011-04-10 03:10:43 GMT 第二個(gè)IP地址開(kāi)始對(duì)存在漏洞的URL進(jìn)行探測(cè)

2011-04-10 10:10:00 GMT 攻擊開(kāi)始，黑客試圖檢索數(shù)據(jù)庫(kù)用戶(hù)

2011-04-10 10:16:00 GMT 攻擊者放棄針對(duì)用戶(hù)的攻擊，轉(zhuǎn)而嘗試獲取數(shù)據(jù)庫(kù)的列表(list)和架構(gòu)(schema)

2011-04-10 10:19:00 GMT 攻擊者開(kāi)始盜取數(shù)據(jù)

2011-04-10 17:30:00 GMT 發(fā)現(xiàn)網(wǎng)站被攻擊

2011-04-10 17:37:00 GMT 發(fā)現(xiàn)WEB應(yīng)用防火墻針的防護(hù)功能暫未開(kāi)啟

2011-04-10 17:39:59 GMT 開(kāi)啟WEB應(yīng)用防火墻的防護(hù)功能， 此后沒(méi)有再發(fā)現(xiàn)任何攻擊行為發(fā)生

2011-04-10 21:00:00 GMT 源自這些IP地址的攻擊不再進(jìn)行停止

 

數(shù)據(jù)泄露事件具體過(guò)程：我們將以圖解的方式結(jié)合各式日志來(lái)分解這次攻擊。

 

 

 

 

發(fā)現(xiàn)漏洞

 

  第一次攻擊的開(kāi)始時(shí)間為4月9日下午5:07，攻擊者的IP地址為 115.134.249.15，來(lái)自馬來(lái)西亞的吉隆坡，該日志條目證實(shí)了認(rèn)為攻擊來(lái)自馬來(lái)西亞的在線報(bào)告。我們還注意到，攻擊者用以探測(cè) Web 網(wǎng)站SQL 注入缺陷的是White hats設(shè)計(jì)的滲透工具的一個(gè)修改版；

 

  第一個(gè)攻擊者使用自動(dòng)工具逐步遍歷網(wǎng)站，并對(duì)每個(gè)允許輸入的參數(shù)項(xiàng)注入一系列 SQL 命令，查找可能的漏洞。SQL 注入工具于下午 5:16 找到了第一個(gè)漏洞，但沒(méi)有繼續(xù)深入該網(wǎng)頁(yè)；下午 8:10，IP地址為 87.106.220.57 的第二個(gè)客戶(hù)端加入了攻擊行列。經(jīng)追蹤發(fā)現(xiàn)，第二個(gè)IP地址的服務(wù)器在德國(guó)，但尚不清楚該服務(wù)器是一個(gè)代理，還是第二個(gè)攻擊者。

 

 

 從Web應(yīng)用防火墻的日志發(fā)現(xiàn)，攻擊者似乎利用了第二個(gè)客戶(hù)端對(duì)已發(fā)現(xiàn)的漏洞進(jìn)行了手動(dòng)攻擊，而主要攻擊仍然集中在繼續(xù)對(duì)Web 站點(diǎn)進(jìn)行掃描，以獲取其它漏洞。最終，攻擊者們集中力量攻擊非主頁(yè)的一個(gè)WEB 頁(yè)面上的一行弱代碼，其輸入?yún)?shù)并未進(jìn)行控制審查。以下是那段代碼：<?=Foo_Function( $_GET[‘parameter’] )?> //獲得用戶(hù)輸入

 

     因未對(duì)輸入值進(jìn)行限定，該代碼錯(cuò)誤讓攻擊者們得以向 HTML的輸入?yún)?shù)進(jìn)行注入 SQL 命令來(lái)攻擊后臺(tái)數(shù)據(jù)庫(kù)。網(wǎng)站開(kāi)發(fā)者們被告知絕對(duì)不要信任用戶(hù)的輸入；所有的用戶(hù)輸入在發(fā)送到后臺(tái)服務(wù)器之前必須進(jìn)行審查。然而，通過(guò)上述案例，你可以發(fā)現(xiàn)僅僅用眼睛很難發(fā)現(xiàn)所有的代碼錯(cuò)誤。這就是為什么除了必要的防范性代碼設(shè)計(jì)以外，企業(yè)還需要使用漏洞掃描工具和Web應(yīng)用防火墻設(shè)備來(lái)為可能的缺陷提供保護(hù)。由于自動(dòng)式掃描攻擊的存在，在一個(gè)含有成千上萬(wàn)條代碼的 Web 站點(diǎn)中，只要有一個(gè)簡(jiǎn)單的錯(cuò)誤就能讓攻擊得逞。所以還需要添加了一條代碼，對(duì)受影響的頁(yè)面上的輸入進(jìn)行限定審查，以保護(hù)未來(lái)的可能攻擊。

 

從漏洞到數(shù)據(jù)泄露

 

  攻擊者們發(fā)現(xiàn)了存在漏洞的頁(yè)面后，企圖竊取數(shù)據(jù)庫(kù)用戶(hù)賬號(hào)。在接下來(lái)的 10個(gè)小時(shí)里，攻擊者們嘗試了數(shù)種方法來(lái)強(qiáng)行闖入后臺(tái)數(shù)據(jù)庫(kù)，但是每次都以失敗告終。上午3:06，攻擊者們改變了策略，集中攻擊后臺(tái)數(shù)據(jù)庫(kù)Schema。事實(shí)證明，正是這個(gè)方法。到 3:19am，攻擊者們已經(jīng)竊取了第一批電子郵箱賬號(hào)。

 

  網(wǎng)站管理員在10:30am 發(fā)現(xiàn)網(wǎng)站被攻擊，并于10:39am將Web應(yīng)用防火墻切換到主動(dòng)模式開(kāi)啟保護(hù)，阻止了來(lái)自 IP 地址為 115.134.249.15 的所有后續(xù)攻擊。接下來(lái)的數(shù)小時(shí)里，攻擊者們繼續(xù)對(duì)剩下的 Web 頁(yè)面進(jìn)行定時(shí)攻擊，Web應(yīng)用防火墻設(shè)備將所有這些攻擊拒之門(mén)外。從攻擊文件證實(shí)了我們的結(jié)論，即：攻擊者們使用了一種自動(dòng)掃描滲透工具，大范圍地注入 SQL 命令。最終，攻擊者們從兩個(gè)攻擊IP地址總共對(duì) 175 個(gè)URL 發(fā)送了 110,892 個(gè) SQL 注入式命令，其頻率為每分鐘 42次。

 

  追蹤Web應(yīng)用防火墻上的防火墻日志和訪問(wèn)日志時(shí)，確定攻擊者們竊取了市場(chǎng)部數(shù)據(jù)庫(kù)中的兩套記錄，包含 21,861 個(gè)用戶(hù)名和電子郵件記錄。因?yàn)檫@兩套記錄還存在副本，并且當(dāng)中有許多用戶(hù)已離開(kāi)原先的公司，所以受影響的用戶(hù)數(shù)比被竊取記錄的總數(shù)要小得多。

 

 任何數(shù)據(jù)泄露都是嚴(yán)重的問(wèn)題。盡管這次攻擊的后果還沒(méi)有進(jìn)一步的顯現(xiàn)，但是類(lèi)似的泄漏數(shù)據(jù)中的郵件帳號(hào)，可能被用來(lái)對(duì)受影響的用戶(hù)進(jìn)行釣魚(yú)攻擊。 

 

結(jié)論

 

   這次攻擊事件，是一個(gè)非常有借鑒意義的教材；為企業(yè)和網(wǎng)管人員分享了經(jīng)驗(yàn)，從多個(gè)角度驗(yàn)證對(duì)于網(wǎng)站攻擊或者數(shù)據(jù)竊取，部署專(zhuān)業(yè)的設(shè)備和嚴(yán)格的安全管理策略必不可少。

梭子魚(yú)Web應(yīng)用防火墻設(shè)備產(chǎn)品能夠?yàn)榫W(wǎng)站提供對(duì)包括SQL注入在內(nèi)的各種攻擊的防護(hù)。即使網(wǎng)頁(yè)中包含PHP代碼漏洞，但只要開(kāi)啟梭子魚(yú)Web應(yīng)用防火墻的防護(hù)功能，所有的攻擊都在幾秒鐘內(nèi)都被阻止。而且，梭子魚(yú)Web應(yīng)用防火墻的日志和報(bào)告提供了完整的攻擊記錄以及失竊數(shù)據(jù)的記錄，從而為分析和研究Web應(yīng)用安全提供了一個(gè)很好的案例。為了保障網(wǎng)站的安全，在編寫(xiě)高質(zhì)量的代碼和進(jìn)行漏洞測(cè)試的同時(shí)，梭子魚(yú)Web應(yīng)用防火墻設(shè)備應(yīng)該成為防御應(yīng)用層攻擊的第一道防線。