Web安全防范:大规模sql注入再次来袭

安全研究人员称，大规模SQL注入攻击再次来袭，这次SQL注入攻击主要通过Web应用程序与后端数据库交互的方式来利用非常常见的漏洞，专门针对ASP、ASP.Net和MS-SQL站点，将受害者重定向到浏览器漏洞利用工具包，例如Blackhole或者Phoenix。

Damballa研究副总裁Gunter Ollmann表示，“大规模SQL注入攻击日益增加，主要是因为这一领域有利可图，能够快速识别容易受到SQL注入攻击的网站的专业黑客和犯罪团伙越来越多，他们通常注入恶意代码作为按安装次数收费或者iFrame注入型业务的一部分来赚钱。”

传统的SQL注入攻击通常是试图从电子商务网站提取数据的手动攻击，而大规模SQL注入攻击是自动化的快速且肮脏的攻击，他们直接将恶意代码拖放到网站中。

Trustwave SpiderLabs高级安全研究人员Ryan Barnett表示：“这就是所谓的跨站点脚本攻击，只是在前端使用SQL注入来注入JavaScript代码，导致将普通用户送到基于不同数据库组件动态创建的网页，然后将恶意JavaScript拖到浏览器中，将用户重定向到恶意网站。”

自2008年以来，大规模SQL注入攻击模式就已经开始流行，去年春天在LizaMoon攻击期间这种SQL注入攻击又出现大范围增加。

根据Zscaler ThreatLabz的报告显示，今年三月份LizaMoon攻击活动又开始激增。该报该称：“一年后，我们仍然能够看到这种攻击活动在进行，我们发现在今年三月份这种攻击活动又开始出现猛增。”

根据Barnett表示，最近几个月的攻击都有类似的M.O.，与曾经用于执行攻击的SQL中的略有不同。

Barnett表示，“他们并没有使用与以前完全相同的脚本，他们选择使用不同的类别名称，这些名称通常用于数据库，例如类别标题、内容标题和首页标题。因此当你动态创建这些网站时，他们的目标是标题HTML标签。他们会准备一个非常接近的标题HTML标签，这样当其进入浏览器时，将会完全清楚已经在浏览器中的标题内容，然后在后面注入以执行JavaScript。”

今年四月，F-Secure和Sucuri Security的研究人员引起了大家对这种攻击的关注，当时这些攻击被重定向到Nikijju.com域。根据Barnett表示，恶意活动仍然位于已经注入的代码的后面，但是最终用户被重定向到的域仍然处于不断变化中。

他表示，“我们在这里强调的是这些攻击者使用的所有域都是处于变化中的，几乎每天都会改变，不过用于利用网站和注入代码的基础设施，攻击者仍然在反复使用，知道用户升级他们的系统。”

Ollmann表示，“首先，这些攻击者必须先于漏洞修复过程，这意味着他们需要知道你在服务器上运行了哪些应用程序，其次，你需要确保你的自定义应用程序被设计为：即使在这些后端系统存在漏洞，这些内容仍然受到保护。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友