SQL註入是從正常的WWW端口通過對頁面請求訪問,而且表面看起來跟壹般的Web頁面訪問沒什麽區別,所以目前市面的防火墻很少會對SQL註入發出警報,如果管理員沒查看IIS日誌的習慣,可能被入侵很長時間都不會發覺。
SQL註入的手法相當靈活,可以根據具體情況進行分析,構造巧妙的SQL語句,從而獲取想要的數據。
程序存在SQL註入,追其原因,是因為代碼或者編碼的不完善。但說到底,是程序員的惰性。代碼的不完善,往往是因為在程序編寫的過程中,沒有考慮到代碼的健壯性及安全性的結果,就國內現狀來看,大多數網站使用的腳本語言,用ASP+Access或SQLServer的占70%以上,PHP+MySQL占20%,其他的不足10%,並且因為開發者水平的參差不齊,代碼編寫的過程考慮不夠周全,程序代碼的安全性值得懷疑,而程序腳本被註入也成為必然。
當然,程序運行環境的先天缺陷也是人為的,這種現象無法完全杜絕避免。從攻擊者的角度來看,使用SQL註入能夠避免絕大多數防火墻的防禦,不留攻擊痕跡,攻擊手法多種多樣,因此才會導致SQL註入攻擊手段的興起。
3.1.2、SQL註入的原理及分類
SQL-Injection的原理
SQL是壹種用於關系數據庫的結構化查詢語言。它分為許多種,但大多數都松散地基於美國國家標準化組織最新的標準SQL-92。SQL語言可以修改數據庫結構和操作數據庫內容。當壹個攻擊者能夠通過往查詢中插入壹系列的SQL操作數據寫入到應用程序中去,並對數據庫實施了查詢,這時就已經構成了SQL-Injection。
SQL-Injection的分類
由於SQL-injection攻擊出要發生在B/S結構的應用程序上,而這些程序大部分都屬於互聯網的web站點,在這種情況下SQL-Injection同樣需要遵循HTTP協議,形成了兩種分類: POST方式註入和GET方式註入
3.1.3、SQL-Injection的攻擊方法
常規註入方法 SQL註入攻擊本身就是壹個常規性的攻擊,它可以允許壹些不法用戶檢索妳的數據,改變服務器的設置,或者在妳不小心的時候黑掉妳的服務器。
旁註 顧名思義就是從旁註入,也就是利用主機上面的壹個虛擬站點進行滲透 ,此類手法多出現與虛擬主機站點。
盲註 通過構造特殊的SQL語句,在沒有返回錯誤信息的情況下進行註入。
跨站註入 攻擊者利用程序對用戶輸入過濾及判斷的不足,寫入或插入可以顯示在頁面上對其他用戶造成影響的代碼。跨站註入的高級攻擊就屬於這種攻擊。
3.1.4、SQL註入的危害
SQL註入通過網頁對網站數據庫進行修改。它能夠直接在數據庫中添加具有管理員權限的用戶,從而最終獲得系統管理員權限。黑客可以利用獲得的管理員權限任意獲得網站上的文件或者在網頁上加掛木馬和各種惡意程序,對網站的正常運營和訪問該網站的網友都帶來巨大危害。
3.1.5、SQL註入漏洞的風險
由於SQL註入是從正常的WWW端口訪問,而且表面看起來跟壹般的Web頁面訪問沒什麽區別,所以目前市面的防火墻都不會對SQL註入發出警報,如果管理員沒查看IIS日誌的習慣,可能被入侵很長時間都不會發覺。它能夠直接在數據庫中添加具有管理員權限的用戶,從而最終獲得系統管理員權限。黑客可以利用獲得的管理員權限任意獲得網站上的文件或者在網頁上加掛木馬和各種惡意程序,對網站和訪問該網站的網友都帶來巨大危害。
無論妳有多強壯的防火墻規則設置或者非常勤於補漏的修補機制,如果妳的網絡應用程序開發者沒有遵循安全代碼進行開發,攻擊者將通過80端口進入妳的系統。
例如,如果壹個網站的數據庫系統為SQL Server 2000數據庫,同時沒有在數據庫的權限設置上做好安全限制,將導致嚴重的後果。SQL註入意味著數據庫也會被攻破,入侵者得到當前數據庫權限的同時,也獲得了整個數據庫服務器的管理權限,入侵者可通過數據庫管理權限得到系統權限,並為所欲為。
再者,很多網站的管理後臺都可經由公網直接訪問到後臺管理登錄頁面,並且可通過暴力猜解等方式對後臺管理賬戶進行猜解。對於任何壹個網站的後臺管理登錄頁,安全的做法應該是限制訪問。尤其是對於政府及銀行網絡來說,更不應該將後臺管理頁面放置到公網上任由訪問,這樣的話安全系數會大大減少,遭受攻擊的機會卻大大增加了。
3.2、網絡釣魚
網絡釣魚(Phishing)壹詞,是“Fishing”和“Phone”的綜合體,由於黑客始祖起初是以電話作案,所以用“Ph”來取代“F”,創造了”Phishing”,Phishing 發音與 Fishing相同。 “網絡釣魚”就其本身來說,稱不上是壹種獨立的攻擊手段,更多的只是詐騙方法,就像現實社會中的壹些詐騙壹樣。
攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動,誘騙訪問者提供壹些個人信息,如信用卡號、賬戶用和口令、社保編號等內容(通常主要是那些和財務,賬號有關的信息,以獲取不正當利益),受騙者往往會泄露自己的財務數據。
詐騙者通常會將自己偽裝成知名銀行、在線零售商和信用卡公司等可信的品牌,因此來說,網絡釣魚的受害者往往也都是那些和電子商務有關的服務商和使用者。
3.2.1、網絡釣魚工作原理
現在網絡釣魚的技術手段越來越復雜,比如隱藏在圖片中的惡意代碼、鍵盤記錄程序,當然還有和合法網站外觀完全壹樣的虛假網站,這些虛假網站甚至連瀏覽器下方的鎖形安全標記都能顯示出來。網絡釣魚的手段越來越狡猾,這裏首先介紹壹下網絡釣魚的工作流程。通常有五個階段:
網絡釣魚的工作原理
3.2.2、“網絡釣魚”的主要手法
a、發送電子郵件,以虛假信息引誘用戶中圈套
詐騙分子以垃圾郵件的形式大量發送欺詐性郵件,這些郵件多以中獎、顧問、對賬等內容引誘用戶在郵件中填入金融賬號和密碼,或是以各 種緊迫的理由要求收件人登錄某網頁提交用戶名、密碼、身份證號、信用卡號等信息,繼而盜竊用戶資金。
例如今年2月份發現的壹種騙取美邦銀行(Smith Barney)用戶的賬號和密碼的“網絡釣魚”電子郵件,該郵件利用了IE的圖片映射地址欺騙漏洞,並精心設計腳本程序,用壹個顯示假地址的 彈出窗口遮擋住了IE瀏覽器的地址欄,使用戶無法看到此網站的真實地址。當用戶使用未打補丁的Outlook打開此郵件時,狀態欄顯示的鏈接是虛假的。
當用戶點擊鏈接時,實際連接的是釣魚網站/,而真正銀行網站是/,犯罪分子利用數字1和字母i非常相近的特點企圖蒙蔽粗心的用戶。
又如2004年7月發現的某假公司網站(網址為/),而真正網站為 /,詐騙者利用了小寫字母l和數字1很相近的障眼法。詐騙者通過QQ散布“XX集 團和XX公司聯合贈送QQ幣”的虛假消息,引誘用戶訪問。
c、利用虛假的電子商務進行詐騙
此類犯罪活動往往是建立電子商務網站,或是在比較知名、大型的電子商務網站上發布虛假的商品銷售信息,犯罪分子在收到受害人的購物匯款後就銷聲匿跡。如2003年,罪犯佘某建立“奇特器材網”網站,發布出售間諜器材、黑客工具等虛假信息,誘騙顧主將購貨款匯入其用虛假身份在多個銀行開立的賬戶,然後轉移錢款的案件。
除少數不法分子自己建立電子商務網站外,大部分人采用在知名電子商務網站上,如“易趣”、“淘寶”、“阿裏巴巴”等,發布虛假信息,以所謂“超低價”、“免稅”、“走私貨”、“慈善義賣”的名義出售各種產品,或以次充好,以走私貨充行貨,很多人在低價的誘惑下上當受騙。網上交易多是異地交易,通常需要匯款。不法分子壹般要求消費者先付部分款,再以各種理由誘騙消費者付余款或者其他各種名目的款項,得到錢款或被識破時,就立即切斷與消費者的聯系。
d、利用木馬和黑客技術等手段竊取用戶信息後實施盜竊活動
木馬制作者通過發送郵件或在網站中隱藏木馬等方式大肆傳播木馬程序,當感染木馬的用戶進行網上交易時,木馬程序即以鍵盤記錄的方式獲取用戶賬號和密碼,並發送給指定郵箱,用戶資金將受到嚴重威脅。
如去年網上出現的盜取某銀行個人網上銀行賬號和密碼的木馬Troj_HidWebmon及其變種,它甚至可以盜取用戶數字證書。又如去年出現的木馬“證券大盜”,它可以通過屏幕快照將用戶的網頁登錄界面保存為圖片,並發送給指定郵箱。黑客通過對照圖片中鼠標的點擊位置,就很有可能破譯出用戶的賬號和密碼,從而突破軟鍵盤密碼保護技術,嚴重威脅股民網上證券交易安全。
e、利用用戶弱口令等漏洞破解、猜測用戶賬號和密碼
不法分子利用部分用戶貪圖方便設置弱口令的漏洞,對銀行卡密碼進行破解。如2004年10月,三名犯罪分子從網上搜尋某銀行儲蓄卡卡號,然後登陸該銀行網上銀行網站,嘗試破解弱口令,並屢屢得手。
實際上,不法分子在實施網絡詐騙的犯罪活動過程中,經常采取以上幾種手法交織、配合進行,還有的通過手機短信、QQ、msn進行各種各 樣的“網絡釣魚”不法活動。
3.3、跨站攻擊
XSS又叫CSS(Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁面裏插入惡意html代碼,當用戶瀏覽該頁之時,嵌入Web裏面的html代碼會被執行,從而達到攻擊者的特殊目的。XSS屬於被動式的攻擊,因為其被動且不好利用,所以許多人經常忽略其危害性。
就攻擊者而言,可以把XSS攻擊分成兩類,壹類是來自內部的攻擊,主要指的是利用程序自身的漏洞,構造跨站語句,如:DVBBS的showerror.asp存在的跨站漏洞。另壹類則是來自外部的攻擊,主要指的攻擊者構造XSS跨站漏洞網頁或者尋找非目標機以外的有跨站漏洞的網頁。如當攻擊者要滲透壹個站點,攻擊者構造壹個有跨站漏洞的網頁,然後構造跨站語句,通過結合其它技術,如社會工程學等,欺騙目標服務器的管理員打開。
傳統的跨站利用方式壹般都是攻擊者先構造壹個跨站網頁,然後在另壹空間裏放壹個收集cookie的頁面,接著結合其它技術讓用戶打開跨站頁面以盜取用戶的cookie,以便進壹步的攻擊。這種方式太過於落後,比較成熟的方法是通過跨站構造壹個表單,表單的內容則為利用程序的備份功能或者加管理員等功能得到壹個高權限。
當發動CSS攻擊或檢測壹個網站漏洞的時候, 攻擊者可能首先使簡單的HTML標簽如<b>(粗體),<i>(斜體)或<u>(下劃線),或者他可能嘗試簡單的script標簽如<script>alert("OK")</script>。因為大多數出版物和網絡傳播的檢測網站是否有css漏洞都拿這個作為例子。這些嘗試都可以很簡單的被檢測出來。
然而,高明點的攻擊者可能用它的hex值替換整個字符串。這樣<script>標簽會以%3C%73%63%72%69%70%74%3E出 現。 另壹方面,攻擊者可能使用web代理服務器像Achilles會自動轉換壹些特殊字符如<換成%3C>換成%3E。這樣攻擊發生時,URL 中通常以hex等值代替角括號。
3.4、溢出漏洞
溢出漏洞是壹種計算機程序的可更正性缺陷。溢出漏洞的全名為“緩沖區溢出漏洞”。因為它是在程序執行的時候在緩沖區執行的錯誤代碼,所以叫緩沖區溢出漏洞。它壹般是由於編成人員的疏忽造成的。具體的講,溢出漏洞是由於程序中的某個或某些輸入函數(使用者輸入參數)對所接收數據的邊界驗證不嚴密而造成。
根據程序執行中堆棧調用原理,程序對超出邊界的部分如果沒有經過驗證自動去掉,那麽超出邊界的部分就會覆蓋後面的存放程序指針的數據,當執行完上面的代碼,程序會自動調用指針所指向地址的命令。根據這個原理,惡意使用者就可以構造出溢出程序。
大多數應用程序保存數據的存儲地址大小是固定的。如果攻擊者向這些存儲區域之壹中發送了過量數據,而程序沒有檢查數據的大小,則會發生溢出。攻擊者針對這壹特點發出的攻擊稱為緩沖區溢出攻擊。
緩沖區是用戶為程序運行時在計算機中申請得的壹段連續的內存,它保存了給定類型的數據。緩沖區溢出指的是壹種常見且危害很大的系統攻擊手段,通過向程序的緩沖區寫入超出其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,使程序轉而執行其他的指令,以達到攻擊的目的。
而人為的溢出則是有壹定企圖的,攻擊者寫壹個超過緩沖區長度的字符串,然後植入到緩沖區,而再向壹個有限空間的緩沖區中植入超長的字符串可能會出現兩個結果,壹是過長的字符串覆蓋了相鄰的存儲單元,引起程序運行失敗,嚴重的可導致系統崩潰;另有壹個結果就是利用這種漏洞可以執行任意指令,甚至可以取得系統root特級權限。大多造成緩沖區溢出的原因是程序中沒有仔細檢查用戶輸入參數而造成的。
緩沖區溢出問題並非已成古老的歷史,緩沖區溢出攻擊已成為最常用的黑客技術之壹。引起緩沖區溢出問題的根本原因是C(與其後代C++)本質就是不安全的,沒有邊界來檢查數組和指針的引用,也就是開發人員必須檢查邊界(而這壹行為往往會被忽視),否則會冒遇到問題的風險。標準C庫中還存在許多非安全字符串操作,包括:strcpy()、sprintf()、gets()等,這些都是程序員需要註意的。
3.5、拒絕服務攻擊
網絡安全中,拒絕服務攻擊(DOS)以其危害巨大,難以防禦等特點成為駭客經常采用的攻擊手段。DoS是Denial of Service的簡稱,即拒絕服務,造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網絡無法提供正常的服務。
3.5.1、被拒絕服務攻擊時的現象
最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡,大量攻擊包導致網絡帶寬被阻塞,合法網絡包被虛假的攻擊包淹沒而無法到達主機,使得所有可用網絡資源都被消耗殆盡,最後導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機,通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網絡服務,使得所有可用的操作系統資源都被消耗殆盡,最終服務器無法再處理合法用戶的請求。
如何判斷網站是否遭受了流量攻擊呢?可通過Ping命令來測試,若發現Ping超時或丟包嚴重(假定平時是正常的),則可能遭受了流量攻擊,此時若發現和妳的主機接在同壹交換機上的服務器也訪問不了了,基本可以確定是遭受了流量攻擊。當然,這樣測試的前提是妳到服務器主機之間的ICMP協議沒有被路由器和防火墻等設備屏蔽,否則可采取Telnet主機服務器的網絡服務端口來測試,效果是壹樣的。不過有壹點可以肯定,假如平時Ping妳的主機服務器和接在同壹交換機上的主機服務器都是正常的,突然都Ping不通了或者是嚴重丟包,那麽假如可以排除網絡故障因素的話則肯定是遭受了流量攻擊,再壹個流量攻擊的典型現象是,壹旦遭受流量攻擊,會發現用遠程終端連接網站服務器會失敗。
相對於流量攻擊而言,資源耗盡攻擊要容易判斷壹些,假如平時Ping網站主機和訪問網站都是正常的,發現突然網站訪問非常緩慢或無法訪問了,而Ping還可以Ping通,則很可能遭受了資源耗盡攻擊,此時若在服務器上用netstat -an命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在,而ESTABLISHED很少,則可判定肯定是遭受了資源耗盡攻擊。還有壹種屬於資源耗盡攻擊的現象是,Ping自己的網站主機Ping不通或者是丟包嚴重,而Ping與自己的主機在同壹交換機上的服務器則正常,造成這種原因是網站主機遭受攻擊後導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令,其實帶寬還是有的,否則就Ping不通接在同壹交換機上的主機了。
3.5.2、總結為以下幾個典型特徵:
被攻擊主機上有大量等待的TCP連接
網絡中充斥著大量的無用的數據包,源地址為假
制造高流量無用數據,造成網絡擁塞,使受害主機無法正常和外界通訊
利用受害主機提供的服務或傳輸協議上的缺陷,反復高速的發出特定的
服務請求,使受害主機無法及時處理所有正常請求
嚴重時會造成系統死機
在2006年,拒絕服務攻擊已經被提升到了利用僵屍網絡BotNet進行大批量攻擊的層次,其嚴重程度已經達到了阻塞國內網絡的程度。根據今年上半年監測的數據,中國擁有的“僵屍網絡”電腦數目最多,全世界***有470萬臺,而中國就占到了近20%。而據國內不完全統計,中國擁有的“僵屍網絡”電腦數量達到120萬臺,其嚴重性已不可忽視。
3.6、社會工程學
我們通常把基於非計算機的欺騙技術叫做社會工程。社會工程中,攻擊者設法設計讓人相信它是其他人。這就像攻擊者在給人打電話時說自己是某人壹樣的簡單。因為他說了壹些大概只有那個人知道的信息,所以受害人相信他。
社會工程的核心是,攻擊者設法偽裝自己的身份並設計讓受害人泄密私人信息。這些攻擊的目標是搜集信息來侵入計算機系統的,通常通過欺騙某人使之泄露出口令或者在系統中建立個新帳號。其他目標使偵察環境,找出安裝了什麽硬件和軟件,服務器上裝載了什麽補丁等等。
通過社會工程得到的信息是無限的,其嚴重程度亦可從大量用戶被網絡釣魚事件中窺見壹斑,攻擊者可利用網絡釣魚獲得的信息嘗試用戶信箱及即時通訊工具的賬戶,從而獲取有用的信息。
4、2007年黑客攻擊水平會發展到驚人的程度之上
雖然Botnet在最近幾個月引發了大量的垃圾郵件,但是,安全研究人員更警惕的是垃圾郵件的高級水平。安全人員警告說,有針對性的釣魚攻擊正在進入企業電子郵件服務器。
垃圾郵件已經達到了我們通常所說的商業級產品的水平。我們已經看到了這種活動的變化。現在,Botnet發出大量單獨的垃圾郵件。
根據MessageLabs的統計,今年11月份全球垃圾郵件的通信量已經增長到了占全球電子郵件通信量的90%。這個百分比預計在今年12月份將繼續保持下去。
此外,在200封電子郵件中至少有壹封電子郵件包含釣魚攻擊的內容。最近攔截的惡意電子郵件中,有68%以上的惡意郵件是釣魚攻擊郵件,比過去的幾個月增長了。
安全研究人員預計,2007年將是攻擊的高級程度發展到驚人的水平的壹年。
攻擊者將搜索MySpace等社交網絡網站,竊取地址、地區號碼和其他身份數據以便使釣魚攻擊電子郵件讓受害者看起來像真的壹樣。
在許多情況下,壞分子可能使用銀行的地址,讓受害者以為電子郵件是從銀行發出來的,從而使釣魚攻擊獲得成功。這些壞分子將搶劫大型社交網絡團體的數據庫,利用垃圾郵件成功地實施攻擊。
安全公司賽門鐵克的高級工程經理Alfred Huger說,每壹天發生的釣魚攻擊的企圖高達700多萬起,並稱,不成熟的釣魚攻擊已經顯著增加到了每天900起以上。
攻擊者將從住在同壹個地區的人們那裏收集電子郵件地址。然後,攻擊者向受害者發出壹封釣魚攻擊電子郵件。這種電子郵件表面上看好像是從那個地區的銀行或者其它金融機構那裏發來的。進入到2007年,Huger預測,釣魚攻擊將變得更加有針對性並且更難發現其欺騙性。
可信賴的因素非常高,人們更容易成為這種攻擊的獵物,因為人們想不到自己的銀行會參與這種事情。
隨著具有電子郵件和其它消息功能的手機的應用,使用短信實施的釣魚攻擊在2007年也將增長。我們的手機現在已經成為微型的計算機,任何在臺式電腦上發生的事情都可能對我們的手機產生影響。壹些企業已經開始制定有關移動設備
使用的政策,還有壹些企業沒有制定這種政策。中間地帶並不大。
企業和消費者能夠采取基本的措施進行反擊。金融機構將改善身份識別功能和加強教育的努力,以便幫助客戶理解他們的銀行什麽時候將與他們進行合法的聯系。消費者可以向賽門鐵克反釣魚攻擊網站舉報釣魚網站以便與網絡詐騙作鬥爭。
Rootkit在增長
攻擊者在2006年更廣泛地應用rootkit技術。這種技術的應用在2007年將繼續增長。rootkit是壹種軟件工具集,能夠讓網絡管理員訪問壹臺計算機或者壹個網絡。壹旦安裝了rootkit,攻擊者就可以把自己隱藏起來,在用戶計算機中安裝間諜軟件和其它監視敲擊鍵盤以及修改記錄文件的軟件。雖然微軟發布的Vista操作系統能夠減少某些rootkit的應用,但是,rootkit的使用在2007年將成為標準。據賽門鐵克稱,用戶模式rootkit策略目前已經非常普遍。內核模式rootkit的使用也在增長。
Rootkit是壹種功能更強大的工具。我們將看到更多的rootkit,因為安全產品正在變得越來越強大,攻擊者不得不提高賭註。