內(nèi)網(wǎng)應(yīng)用安全以及服務(wù)器的安全一直是眾多中小企業(yè)網(wǎng)絡(luò)管理員所關(guān)心的話題，大多數(shù)企業(yè)服務(wù)器上都會(huì)運(yùn)行企業(yè)網(wǎng)站，不管是ASP類站點(diǎn)還是PHP類站點(diǎn)，不管是W indow s 2000 server還 是 w indow s 2003，也不管是基于MYSQL的數(shù)據(jù)庫(kù)還是access又或是SQL server數(shù)據(jù)庫(kù)，我們都可能遇到最為頭疼的利用數(shù)據(jù)庫(kù)及動(dòng)態(tài)頁(yè)面語(yǔ)言漏洞而采取的注入攻擊。每當(dāng)出現(xiàn)注入攻擊后我們都無(wú)法快速定位到底是哪個(gè)語(yǔ)句哪條指令出現(xiàn)了問(wèn)題，注入是不可避免的但是如何才能夠做到在第一時(shí)間發(fā)現(xiàn)漏洞彌補(bǔ)漏洞呢?下面筆者就從個(gè)人實(shí)際應(yīng)用出發(fā)為各位IT168安全頻道的讀者介紹如何在服務(wù)器上搭建一套防注入系統(tǒng)。

注入入侵采取的手段

所謂注入入侵實(shí)際上就是通過(guò)動(dòng)態(tài)頁(yè)面編程語(yǔ)言對(duì)數(shù)據(jù)庫(kù)的操作來(lái)實(shí)現(xiàn)入侵的目的，大多數(shù)入侵是建立在動(dòng)態(tài)頁(yè)面編程語(yǔ)言不完善而在對(duì)數(shù)據(jù)庫(kù)執(zhí)行查詢，寫(xiě)入，讀取等操作時(shí)存在問(wèn)題的基礎(chǔ)上產(chǎn)生的。要知道通過(guò)查詢數(shù)據(jù)庫(kù)返回的錯(cuò)誤信息可以分析出目的站點(diǎn)對(duì)應(yīng)數(shù)據(jù)庫(kù)中表的具體信息來(lái)，通過(guò)窮舉法完成數(shù)據(jù)庫(kù)，數(shù)據(jù)表以及字段等信息的暴力破解。

防注入系統(tǒng)建立思路

不管怎樣注入入侵都必須建立在對(duì)數(shù)據(jù)庫(kù)執(zhí)行查詢等操作的基礎(chǔ)上完成的，所以我們可以通過(guò)分析和記錄數(shù)據(jù)庫(kù)操作來(lái)完成對(duì)注入入侵的監(jiān)控，從而知道到底是什么時(shí)候什么操作造成的漏洞。

防注入系統(tǒng)正是基于上述思路完成的，我們通過(guò)建立一套監(jiān)控系統(tǒng)針對(duì)服務(wù)器上站點(diǎn)各個(gè)頁(yè)面的訪問(wèn)，特別是修改操作進(jìn)行記錄;再針對(duì)數(shù)據(jù)庫(kù)關(guān)鍵數(shù)據(jù)表關(guān)鍵字段的讀取和訪問(wèn)進(jìn)行記錄，從而快速定位出問(wèn)題的頁(yè)面 (被訪問(wèn)和修改的頁(yè)面)和被攻擊的時(shí)間(數(shù)據(jù)庫(kù)字段讀取訪問(wèn)時(shí)間)，從而最大限度的防范注入攻擊的入侵，而另一方面也大大減少了被攻擊站點(diǎn)存活的時(shí)間，在第一時(shí)間恢復(fù)原有系統(tǒng)。

用防注入系統(tǒng)來(lái)統(tǒng)籌管理服務(wù)器群

筆者使用的防注入系統(tǒng)正是通過(guò)上述思路建立起來(lái)的，通過(guò)一臺(tái)專門的WEBGUARD 服務(wù)器對(duì)企業(yè)所有服務(wù)器進(jìn)行監(jiān)控，建立時(shí)由于這臺(tái)服務(wù)器只負(fù)責(zé)防注入以及監(jiān)控， 所以一定要把這臺(tái) WEBGUARD 服務(wù)器放置到企業(yè)內(nèi)網(wǎng)中，不要裸露在外網(wǎng)，從而避免該服務(wù)器被惡意攻擊。

通過(guò)WEBGUARD 服務(wù)器上的監(jiān)控系統(tǒng)實(shí)現(xiàn)對(duì)多臺(tái)服務(wù)器上網(wǎng)頁(yè)文件，數(shù)據(jù)庫(kù)程序的讀寫(xiě)與查詢進(jìn)行監(jiān)控和記錄，從而對(duì)入侵者的攻擊一目了然。再針對(duì)漏洞進(jìn)行相應(yīng)的彌補(bǔ)操作即可。

在系統(tǒng)應(yīng)用時(shí)我們可以根據(jù)服務(wù)器的安全級(jí)別選擇不同的監(jiān)控方式，每個(gè)站點(diǎn)可以分別設(shè)置安全級(jí)別，并且結(jié)合網(wǎng)站監(jiān)測(cè)時(shí)間間隔達(dá)到“準(zhǔn)實(shí)時(shí)”監(jiān)控的目的，同時(shí)可以指定上載文件時(shí)的用戶名和密碼。另外我們還要指定要監(jiān)測(cè)的文件類型，例如ASP，PHP，DB等格式的文件都在被監(jiān)控范圍內(nèi)，當(dāng)然為了保證服務(wù)器上站點(diǎn)的快速恢復(fù)，我們可以指定不同站點(diǎn)的頁(yè)面?zhèn)浞萋窂揭约白詣?dòng)備份的周期，這樣可以實(shí)現(xiàn)出問(wèn)題后的自動(dòng)快速恢復(fù)。

由于這里涉及到相關(guān)產(chǎn)品的使用，所以不適合在這里放過(guò)多的文字內(nèi)容，感興趣的讀者可以自行搜索相關(guān)產(chǎn)品和相關(guān)防注入系統(tǒng)資料。

總結(jié)

本文主要是從防注入系統(tǒng)的建立角度來(lái)討論如何有效的保護(hù)服務(wù)器上網(wǎng)站和數(shù)據(jù)庫(kù)的安全，通過(guò)建立一套防注入監(jiān)控體系來(lái)保證頁(yè)面文件和數(shù)據(jù)庫(kù)文件的安全，確保我們企業(yè)網(wǎng)絡(luò)和注入漏洞，向注入攻擊說(shuō)再見(jiàn)。