|
IDS是英文“Intrusion Detection Systems”的縮寫(xiě)��,中文意思是“入侵檢測(cè)系統(tǒng)”�。傳統(tǒng)的IDS是一個(gè)監(jiān)聽(tīng)設(shè)備�,這個(gè)設(shè)備通過(guò)網(wǎng)絡(luò)鏈路掛接在億恩科技服務(wù)器和客戶端所有流量都必須流經(jīng)的鏈路上����,IDS就是通過(guò)特有IDS規(guī)則匹配黑客惡意攻擊入侵行為的流量,進(jìn)行即時(shí)的監(jiān)測(cè)和報(bào)警�����。
在歷年來(lái)開(kāi)源的Web程序中��,被披露最多最嚴(yán)重的安全(服務(wù)器租用找:51033397)漏洞一直是SQL注射�,為了減少SQL注射漏洞對(duì)各大網(wǎng)站:(prubsntakaful.com)造成的安全(服務(wù)器租用找:51033397)威脅,Web安全(服務(wù)器租用找:51033397)研究組織80SEC在2008年編寫(xiě)了國(guó)內(nèi)第一個(gè)腳本類IDS - MysqlIds��,使用MysqlIds可以更好的���、更有效率的幫助網(wǎng)站:(prubsntakaful.com)管理員和程序員抵御和檢測(cè)SQL注射漏洞�����。
現(xiàn)在流行的技術(shù)大部分是旁路監(jiān)聽(tīng)���,一般不會(huì)因?yàn)镮DS的性能影響網(wǎng)站:(prubsntakaful.com)正常的訪問(wèn)流量���,而Mysqlids也是按照類似的思路同樣不會(huì)影響程序的性能。Mysqlids存在于應(yīng)用程序和數(shù)據(jù)庫(kù)操作之間的一個(gè)環(huán)節(jié)��,完全以數(shù)據(jù)庫(kù)的語(yǔ)法來(lái)分析執(zhí)行的SQL語(yǔ)句���,而不是采用傳統(tǒng)的關(guān)鍵字檢測(cè)的方法,對(duì)于一些非正常的SQL語(yǔ)句能進(jìn)行阻止并且記錄相關(guān)的信息�����,這樣就可以很快地定位程序中存在注射漏洞的地方�����,為漏洞的及時(shí)修復(fù)提供必要的信息�����。
MysqlIds原理
MysqlIds是由PHP編寫(xiě)的���,通過(guò)一個(gè)封裝的安全(服務(wù)器租用找:51033397)函數(shù)���,監(jiān)測(cè)程序中運(yùn)行的SQL查詢語(yǔ)句�����,針對(duì)黑客經(jīng)常使用的union查詢���、select子查詢、不常用的SQL注釋符��、文件操作和benchmark等危險(xiǎn)函數(shù)行為進(jìn)行報(bào)警��,這個(gè)IDS是無(wú)縫封裝在程序里的數(shù)據(jù)庫(kù)操作流程里的��,也就是黑客通過(guò)程序漏洞進(jìn)行惡意的SQL注射都能被非常詳細(xì)的監(jiān)測(cè)到�,程序員或者網(wǎng)站:(prubsntakaful.com)站長(zhǎng)甚至能使用IDS發(fā)現(xiàn)自己網(wǎng)站:(prubsntakaful.com)程序中未被察覺(jué)的0DAY漏洞。下面我就分析MysqlIds的部分代碼��,使大家可以從原理上更容易的理解MysqlIds��,我們看看MysqlIds如何監(jiān)測(cè)黑客SQL注入經(jīng)常使用的惡意的聯(lián)合查詢�����。部分代碼如下:
if (strpos($clean, 'union') !== false && preg_match('~(^ [^a-z])union($ [^[a-z])~s', $clean) != 0){
$fail = true;
$error="union detect";
}
MysqlIds使用了PHP中strpos函數(shù)來(lái)判斷程序執(zhí)行的SQL語(yǔ)句是否存在惡意的SQL注射,這個(gè)函數(shù)可以高效率的查找指定字符串返回一個(gè)布爾值���,當(dāng)程序執(zhí)行SQL語(yǔ)句中使用聯(lián)合查詢�����,規(guī)則條件就開(kāi)始生效�,啟用preg_match函數(shù)調(diào)用IDS規(guī)則來(lái)匹配惡意的聯(lián)合查詢語(yǔ)句�,這個(gè)IDS規(guī)則是精心構(gòu)造的正則表達(dá)式,類似于大家使用的傳統(tǒng)IDS規(guī)則��,由于MysqlIds是在程序的數(shù)據(jù)庫(kù)操作層來(lái)檢測(cè)�����,所有能抓取到有效且實(shí)實(shí)在在的安全(服務(wù)器租用找:51033397)問(wèn)題�,且更有效更具有針對(duì)性��。MysqlIds還針對(duì)程序運(yùn)行的SQL語(yǔ)句出現(xiàn)的異常情況進(jìn)行了監(jiān)控��,如SQL語(yǔ)句中出現(xiàn)異常的注釋符���,一般黑客進(jìn)行SQL注射攻擊���,很多情況下需要注釋符完成SQL注射攻擊的SQL語(yǔ)句�����,同時(shí)黑客還有可能使用一些比
本文出自:億恩科技【prubsntakaful.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商��!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
