网站设计应该考虑的重要因素,windows10优化工具,网站建设中销售人员会问客户的问题,免费logo设计的网站1、攻击原理
漏洞成因可以归结为以下两个原因叠加造成的#xff1a;1#xff09;程序编写者在处理应用程序和数据库交互时#xff0c;使用字符串拼接的方式构造SQL语句#xff1b;2#xff09;未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。
2、危害…1、攻击原理
漏洞成因可以归结为以下两个原因叠加造成的1程序编写者在处理应用程序和数据库交互时使用字符串拼接的方式构造SQL语句2未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。
2、危害影响
1、攻击者可能利用SQL注入漏洞篡改网页数据窃取用户数据植入WebShell甚至可能获取业务系统服务器账号权限等。
3、防御方法
1.使用参数检查的方式拦截带有SQL语法的参数传入应用程序
2.使用预编译的处理方式处理拼接了用户参数的SQL语句推荐
3.在参数即将进入数据库执行之前对SQL语句的语义进行完整性检查确认语义没有发生变化
4.在出现SQL注入漏洞时要在出现问题的参数拼接进SQL语句前进行过滤或者校验不要依赖程序最开始处防护代码
4、研判思路
1、判断是否为规则误报 1基于漏洞特征检测查看是否在请求中包含明文或转义/转码后的数据库执行语句比如select、where等 2排除业务导致的误报需要排除部分业务系统不规范导致的误报情况比如业务请求中包含select等字段时的误报
2、判断是否为恶意行为 1需要确认是否为分析和研究人员的测试行为 2需要排除是否为内网已授权漏洞扫描器的扫描行为
3、判断是否攻击成功 1如果来源IP为内网则说明内网已存在失陷服务器可以认为攻击成功该告警的处置优先级高 2如果来源IP为外网返回值中包含攻击者已执行成功/获取到有效信息则认为是攻击成功。
5、应急响应-事中处置
1、已失陷主机 1隔离和处置失陷机器及时联系机器负责人对感染的机器采取断网操作并且修改相关账户的口令下载杀毒软件或者专杀软件进行清除 2内部通告和培训及时进行内部通告和培训增强企业员工安全意识对不明邮件附件和不明站点可疑连接谨慎点击访问从正规渠道下载程序不安装来自不明来源的应用程序 3端口限制根据业务情况在不影响的情况下可选择在安全策略中限制如下端口3306MYSQL、1521ORACLE、1433SQL SERVER、5432PG、6379REDIS、9200ES 4漏洞修补对存在漏洞的主机进行安全漏洞修复及时对设备系统进行安全更新和应用安全补丁更新
2、已失陷账户 1修改密码建议采用数字、符号及大小写字母混合的方式设置8位以上的密码 2账户封禁 3账户权限收回
3、外部攻击遏制 1封禁IP在防火墙上配置IP黑名单封堵攻击源主机
6、应急响应-事后加固 1更新网络安全管理措施根据该事件中暴露的问题针对性修订完善网络安全管理制度做好攻击预警和处置同时对攻击事件进行复盘并更新网络安全突发事件应急预案 2加强网络安全隐患修补在消除该事件攻击影响的情况下开展网络安全隐患排查和修补。例如在权限管理方面重点排查弱口令、账户权限、口令更新和共用等问题在漏洞修补方面及时更新系统、软件、硬件等漏洞补丁 3自动化封禁使用SOAR或其他自动化手段将此类告警外网源IP在第一时间进行边界防火墙的封禁 4保持网络安全设备特征库更新日常运维过程中需要保持特征库为最新版本
