SQL注入技术和跨站脚本攻击的检测(2)
|
2.3 典型的 SQL 注入攻击的正则表达式 /w*((\%27)|(’))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix 解释: union’SQL 查询在SQL注入各种数据库中攻击中同样是很常见的。如果前面的正则表达式仅仅检测单引号或则其他的SQL meta characters ,会造成很多的错误存在。你应该进一步修改查询,检测单引号和关键字‘union’。这同样可以进一步扩展其他的SQL关键字,像’select’, ’insert’, ’update’, ’delete’, 等等。 2.4 检测SQL注入,UNION查询关键字的正则表达式 /((\%27)|(’))union/ix (\%27)|(’) - 单引号和它的hex等值 可以同样为其他SQL查询定制表达式,如 >select, insert, update, delete, drop, 等等. 如果,到这个阶段,攻击者已经发现web应用程序存在SQL注入漏洞,他将尝试利用它。如果他认识到后端服务器式MS SQL server,他一般会尝试运行一些危险的储存和扩展储存过程。这些过程一般以‘sp’或‘xp’字母开头。典型的,他可能尝试运行 ‘xp_cmdshell’扩展储存过程(通过SQL Server执行Windows 命令)。SQL服务器的SA权限有执行这些命令的权限。同样他们可以通过xp_regread, xp_regwrite等储存过程修改注册表。 2.5 检测MS SQL Server SQL注入攻击的正则表达式 /exec(s|+)+(s|x)pw+/ix 解释: 3. 跨站脚本(CSS)的正则表达式 当发动CSS攻击或检测一个网站漏洞的时候, 攻击者可能首先使简单的HTML标签如<b>(粗体),<i>(斜体)或<u>(下划线),或者他可能尝试简单的 script标签如<script>alert("OK")</script>. 因为大多数出版物和网络传播的检测网站是否有CSS漏洞都拿这个作为例子。这些尝试都可以很简单的被检测出来。 然而,高明点的攻击者可能用它的hex值替换整个字符串。这样<script>标签会以%3C%73%63%72%69%70%74%3E出 现。 另一方面,攻击者可能使用web代理服务器像Achilles会自动转换一些特殊字符如<换成%3C、>换成%3E.这样攻击发生时,URL 中通常以hex等值代替角括号。 下列正则表达式将检测任何文本中包含的HTML的<、>。它将捉住试图使用< b>、<u>、或<script>。这正则表达式应该忽略大小写。我们需要同时检测角括号和它的hex等值(% 3C|<)。检测hex进制转化的整个字符串,我们必须检测用户输入的数字和%号,即使用[a-z0-9%] 。这可能会导致一些错误出现,不是大部分会检测到真实攻击的。 3.1 一般 CSS 攻击的正则表达式 /((\%3C)|<)((\%2F)|/)*[a-z0-9\%]+((\%3E)|>)/ix 解释: Snort 规则: 跨站脚本同样可以使用<img src=../../>技术。现行默认的snort规则可以被轻易避开。 3.2章节提供了防止这种技术的方法。 3.2 "<img src" CSS 攻击正则表达式 /((\%3C)|<)((\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47))[^ ]+((\%3E)|>)/I 解释: 3.3 CSS 攻击的极端的正则表达式 /((\%3C)|<)[^ ]+((\%3E)|>)/I 解释: 这个规则简单寻找<+除换行符外的任何字符+>。由于你的web服务器和web应用程序的构架,这个规则可能产生一些错误。但它能保证捉住任何CCS或者类似CSS的攻击。 总结: 在 这篇文章中,我们提出了不同种类的正则表达式规则来检测SQL注入和跨站脚本攻击。有些规则简单而极端,一个潜在的攻击都将提高警惕。但这些极端的规则可 能导致一些主动的错误。考虑到这点,我们修改了这些简单的规则,利用了另外的样式,他们可以检查的更准确些。在这些网络应用成的攻击检测中,我们推荐将这 些作为调试你IDS或日志分析方法的起点。再经过几次修改后,在你对正常网交易部分的非恶意应答进行评估以后,你应该可以准备的检测那些攻击了。 参考 1. SQL Injection http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf faq.sHTML http://www.nextgenss.com/papers/advanced_sql_injection.pdf 源代码网供稿. |
