侯 鵬

(貴州大學(xué) 科技學(xué)院，貴州 惠水 550600)

1 關(guān)于攻擊直接目的SQL注入攻擊樹模型分類

根據(jù)現(xiàn)有相關(guān)文獻(xiàn)資料，筆者對(duì)目前關(guān)于SQL注入攻擊的研究進(jìn)行總結(jié)，可分為Tautology(重言式攻擊)、Union Queries(聯(lián)合查詢)、Piggybacked Queries(多命令語(yǔ)句攻擊)、Malformed Queries(異常命令語(yǔ)句攻擊)、Inference(推斷攻擊)、Altemate Encodings(攻擊輸入編碼偽裝)、Leveraging Stored Procedures(存儲(chǔ)過程攻擊)七大類[1]。

基于以上分類，本文對(duì)目前SQL注入攻擊行為進(jìn)行系統(tǒng)分析之后，按SQL注入攻擊的直接目的，可分惡意運(yùn)行命令、竊取系統(tǒng)信息、繞過認(rèn)證三大類。其進(jìn)行簡(jiǎn)化意義是使攻擊樹模型更加完善、精練、緊湊。在這基礎(chǔ)上，一般攻擊者與攻擊者的目的對(duì)應(yīng)比較詳見表1。

我們把SQL注入攻擊直接目的作為參考依據(jù)，再通過對(duì)SQL注入攻擊方式進(jìn)行系統(tǒng)了解，從而能夠抽象地對(duì)攻擊模型進(jìn)行設(shè)計(jì)，詳見圖1所示。

表1 一般攻擊者目的與攻擊者直接目的的對(duì)應(yīng)

從圖1 SQL注入攻擊模型可知對(duì)Web應(yīng)用安全漏洞攻擊建模，至少?gòu)墓舸胧?、目的與流程三個(gè)方面去構(gòu)建模型。本文重點(diǎn)所論述的模型從攻擊直接目的角度把SQL注入攻擊分為三大類，分別是注入運(yùn)行惡意命令、繞過論證與竊取系統(tǒng)信息。然后在模型中自下朝上分別描述實(shí)現(xiàn)此三類攻擊目的方法。比如對(duì)于繞過認(rèn)證攻擊的目的，是通過重言式攻擊或注入導(dǎo)常字符等方法來(lái)實(shí)現(xiàn)的。而竊取系統(tǒng)信息的攻擊目的，是通過錯(cuò)誤信息利用SQL注入攻擊方法與盲注入來(lái)實(shí)現(xiàn)的[1]。

如圖1 所示，本文所構(gòu)建的攻擊樹模型把SQL注入攻擊主要分成繞過認(rèn)證、錯(cuò)誤信息利用、盲注入、以及注入運(yùn)行SQL命令與非SQL命令等幾大類。與SQL所論述的SQL注入攻擊類型所對(duì)應(yīng)關(guān)系如表2.圖1中所構(gòu)建模型能夠?qū)δ壳案鞣N類型的SQL注入攻擊比較全面的描述，而且此模型的描述不僅僅是對(duì)目標(biāo)系統(tǒng)的具體攻擊步驟，或者是細(xì)致化攻擊程序語(yǔ)句格式。此種描述方式，對(duì)于支持將具體樣式與攻擊輸入代碼符號(hào)進(jìn)行分離非常有利，便于對(duì)原本沒有序的SQL注入攻擊輸入集合，改變成有序的形式化符號(hào)。圖1的模型是較為抽象的建模，有很強(qiáng)的穩(wěn)定性。

圖1 基于攻擊直接目的的SQL注入攻擊樹模型

表2 一般SQL注入攻擊分類與本文所提出的攻擊樹模型對(duì)應(yīng)

從攻擊目的構(gòu)建SQL注入攻擊樹模型，是為指導(dǎo)形成優(yōu)化滲透測(cè)試用例打基礎(chǔ)。圖1模型重點(diǎn)對(duì)SQL注入攻擊輸入規(guī)律進(jìn)行詳細(xì)描述，所以可依據(jù)其生成有規(guī)律的SQL用例輸入，不過它對(duì)于SQL漏洞反應(yīng)規(guī)律與注入攻擊位置規(guī)律還沒有作具體描述。在圖1 中對(duì)SQL注入攻擊模型中在漏洞反應(yīng)與攻擊位置方面信息進(jìn)一步完善會(huì)導(dǎo)致攻擊樹模型有太多無(wú)用分支，并且會(huì)使描述得不到統(tǒng)一。原因是因?yàn)楣魳淠Ｐ偷奶攸c(diǎn)及其概念的不足，而使得分節(jié)點(diǎn)沒有能力阻止產(chǎn)生無(wú)用和重復(fù)的分支，這就給實(shí)際SQL攻擊錄入有關(guān)規(guī)則的劃分帶來(lái)非常不利的因素。同時(shí)還有攻擊樹模型自身的一些不足，比如節(jié)點(diǎn)既可以表示攻擊者發(fā)動(dòng)攻擊行為，又可以代表攻擊者進(jìn)行攻擊最后結(jié)果，這樣行為與結(jié)果不分，極易產(chǎn)生混亂的現(xiàn)象[2]。

2 SGM建模

.SGM是安全目的模型英文單詞第一個(gè)字母的集合，英文名全稱為Security Goal Model，是新模型方法。重點(diǎn)對(duì)攻擊、漏洞的特點(diǎn)等方面進(jìn)行描述，其最明顯的特征就是表現(xiàn)能力強(qiáng)[3]。安全目的模型能夠與4類模型工具一樣應(yīng)用，還能與別的建模工具進(jìn)行轉(zhuǎn)換。SGM建模規(guī)則如表3。

表3SGM建模規(guī)則表

在SGM中，根節(jié)點(diǎn)表示可通過各子目的元素實(shí)現(xiàn)而達(dá)到總目的。一個(gè)SGM中，僅有一個(gè)根節(jié)點(diǎn)。Subgoal(子目的)表示一個(gè)有助于實(shí)現(xiàn)或不利于實(shí)現(xiàn)模型總目的中的局部目的，一個(gè)SGM能夠包括N個(gè)子目的。模型中的操作符包括OR表示“或”，與AND表示“和”兩種子目的之間可實(shí)現(xiàn)關(guān)系。SGM的dependence edge(依賴邊)表示子目的之間OR或AND的相互關(guān)系非常密切(相互依存)。一條依賴邊(從A指向B)是指根節(jié)點(diǎn)，該節(jié)點(diǎn)的功能是對(duì)該模型所描述的總目的實(shí)現(xiàn)，子目的A和B應(yīng)該依次實(shí)現(xiàn)。SGM還應(yīng)具有對(duì)子目的之間的信息交流能力進(jìn)行描述?？梢酝ㄟ^information edge(信息邊)對(duì)子目的之間傳遞信息情況進(jìn)行描述[24]。通過information port(信息節(jié)點(diǎn))對(duì)子目的內(nèi)部向外發(fā)送接收信息的接口狀況進(jìn)行表述。在SGM中信息邊并不是一定需要的，比如當(dāng)SGM在對(duì)安全漏洞規(guī)律等方面進(jìn)行描述時(shí)，信息邊就可當(dāng)作不存在。

3 SGM建模與攻擊樹比較的優(yōu)勢(shì)

與攻擊樹相比較而言，安全目的模型主要優(yōu)勢(shì)表現(xiàn)在：表達(dá)能力較強(qiáng)，但規(guī)模不大；表達(dá)簡(jiǎn)潔，但并不繁冗[5]。比如以篡改軟件攻擊建模作為案例進(jìn)行分析，倘若采取攻擊樹作為建模工具，那么得到相應(yīng)的攻擊樹詳見圖2。采用安全目的模型建模就能夠描述成圖3。

從圖2 與圖3相比較可知，安全目的模型的優(yōu)勢(shì)是可以實(shí)現(xiàn)模型相關(guān)節(jié)點(diǎn)共享，不會(huì)像攻擊樹模型那樣要重復(fù)列出相同的節(jié)點(diǎn)步驟。所以模型就會(huì)更加簡(jiǎn)單化，除此之外，安全目的模型具有更強(qiáng)表述能力。該模型中能夠體現(xiàn)更多的相關(guān)信息，而且還有非常好的表述性。

本文分析了從安全目的模型構(gòu)建SQL注入攻擊模型如圖4，模型從攻擊直接目的的方面對(duì)SQL注入攻擊規(guī)律進(jìn)行表述。

圖2 篡改軟件攻擊的攻擊樹模型

圖3 篡改軟件攻擊的安全目的模型圖

圖4 SQL注入攻擊安全目的模型圖

安全行為是以SGM描述角度為目的，是基于前文分析的攻擊者直接攻擊目的對(duì)SQL注入攻擊進(jìn)行建模圖。圖4中模型根節(jié)點(diǎn)是對(duì)SQL注入攻擊的總目的實(shí)現(xiàn)，從下到上進(jìn)行表述，依據(jù)攻擊最直接的目的，把攻擊分成注入運(yùn)行惡意命令、繞過論證與竊取系統(tǒng)信息。模型向上分別對(duì)該三類子目的攻擊進(jìn)行表述，比如注入條件式或注入執(zhí)行命令的子目的，注入運(yùn)行SQL命令需要查找Web應(yīng)用注入點(diǎn)。

圖5 SQL注入攻擊中“竊取系統(tǒng)信息”安全目的模型

在圖4 對(duì)SQL注入規(guī)律總的描述基礎(chǔ)上，對(duì)圖4 中“竊取系統(tǒng)信息”子目的具體化做進(jìn)一步展開描述構(gòu)模如圖5。在圖1 攻擊樹模型中，盲注入與錯(cuò)誤信息二類攻擊形式均屬于竊取系統(tǒng)信息攻擊，從安全目的模型描述，把竊取系統(tǒng)信息建模分為圖5兩個(gè)子模型：即(A)盲目注入攻擊子目的模型，(B)錯(cuò)誤信息使用攻擊子目的模型。在使用此模型過程中，此模型上端對(duì)為實(shí)現(xiàn)此攻擊目標(biāo)進(jìn)行錄入描述；注入不可執(zhí)行命令子目的或者是異常字符。該模型中間白色方框部分是對(duì)Web應(yīng)用存在SQL注入漏洞時(shí)對(duì)攻擊輸入的漏洞反應(yīng)進(jìn)行描述：Web在該模型中的運(yùn)用，就是使有價(jià)值錯(cuò)誤信息及時(shí)傳送回來(lái)；黑框就是代表Web應(yīng)用防患策略，對(duì)SQL 注入攻擊的防御措施，給實(shí)施成功的攻擊帶來(lái)不便，因此通過反作用節(jié)點(diǎn)進(jìn)行表述。而在盲注入子模型中，實(shí)現(xiàn)此種攻擊目的需要攻擊錄入，通過模型上端進(jìn)行表述。注入時(shí)間推斷命令或者注入不等式且注入恒等式，分別實(shí)現(xiàn)模型中間部分白框的表述Web應(yīng)用對(duì)兩個(gè)等式不同(即恒等式與不等式)，以及能夠體現(xiàn)時(shí)間變動(dòng)的子目的。它們分別對(duì)應(yīng)的是完成的SQL注入條件預(yù)測(cè)攻擊與時(shí)間推測(cè)攻擊所表現(xiàn)的特點(diǎn)。同模的黑色方框表示W(wǎng)eb應(yīng)用防御策略，即防御策略對(duì)SQL注入與盲注入攻擊子目的不容易成功[4]。

依照同樣的方法，對(duì)圖4 中“注入運(yùn)行惡意命令”按照預(yù)先設(shè)定的流程進(jìn)行建模處理，以描述該子目的細(xì)節(jié)。結(jié)合圖6 中所提供相關(guān)信息，對(duì)該子目的進(jìn)一步劃分為(A)、(B)兩個(gè)模型。將注入攻擊模式分別于模型上端進(jìn)行如下描述：當(dāng)恒等式或者可執(zhí)行命令被注入后，模型白色方框提示注入成功。同樣的，存儲(chǔ)過程攻擊子模型也同樣將攻擊輸入描述與子模型上端，并將攻擊成功的所有特征通過白色方框加以描述。而在防御措施的描述方面，這兩個(gè)模型均采用中間黑色方框?yàn)榇怼?/p>

圖6 SQL注入攻擊中的“注入運(yùn)行惡意命令”安全目的模型

把圖4 中“繞過論證”攻擊子目的再詳細(xì)描述如圖7。此模型上端是注入干擾異常字符或者注入恒等式(對(duì)攻擊輸入進(jìn)行了具體描述)，中間白方框?yàn)槌晒Φ墓籼攸c(diǎn)——經(jīng)過Web運(yùn)用的認(rèn)證機(jī)制，模型中間的黑框?yàn)閃eb運(yùn)用防御策略。

圖7 SQL注入攻擊中的“繞過認(rèn)證”安全目的模型

下面從圖4 至圖7 中的各子模型中尋找Web運(yùn)用注入點(diǎn)子目的作更進(jìn)一步的建立模型。

本文主要是對(duì)SQL注入用例的優(yōu)化方面問題進(jìn)行分析，所以把兩大輸入點(diǎn)當(dāng)作被測(cè)試的對(duì)象，該兩大輸入點(diǎn)分別是Web運(yùn)用中登陸認(rèn)證表單與所含的參數(shù)，并以此為立足點(diǎn)，尋找使用注入點(diǎn)子目的構(gòu)建模型如圖8。

圖8 SQL注入攻擊中“查找Web應(yīng)用注入點(diǎn)” 安全目的模型

在圖5至圖8中的模型是對(duì)圖4具體展開的描述。把圖4模型中所對(duì)應(yīng)的子目的展開為數(shù)個(gè)子模型，另 一方面在該模型中還對(duì)SQL注入攻擊漏洞反應(yīng)規(guī)律與位置信息等方面進(jìn)行具體描述。這樣就詳細(xì)反應(yīng)了SGM的優(yōu)勢(shì)?？梢詫?duì)模型上的節(jié)點(diǎn)能夠做進(jìn)一步分層描述，同時(shí)還能對(duì)其所支持的反應(yīng)做了詮釋。圖4至圖6中各模型中自上而下每條不帶有反作用目的節(jié)點(diǎn)的路徑表示一類攻擊子目的過程。對(duì)攻擊輸入通過上端進(jìn)行描述，Web對(duì)攻擊輸入漏洞反應(yīng)是通過中部子目的節(jié)點(diǎn)進(jìn)行描述。模型中的反作用節(jié)點(diǎn)是代表攻擊遭受Web運(yùn)用防御攔截所導(dǎo)至失敗攻擊路徑。

立足于表3中的攻擊樹模型，對(duì)SGM進(jìn)一步建立了新的SQL注入攻擊模型，較之與普通的攻擊樹建模，本文建立新的SQL注入攻擊模型，其優(yōu)勢(shì)主要表現(xiàn)在以下幾方面：

(1)主張子目的展開分層論述。該項(xiàng)特點(diǎn)具有多方面優(yōu)點(diǎn)，一方面能夠使模型根據(jù)現(xiàn)實(shí)情況對(duì)攻擊規(guī)律進(jìn)行描述；另一方面能夠?qū)粢?guī)律細(xì)節(jié)進(jìn)行具體化展開，詳見圖5至圖8。

(2)使模型表述上的冗余減少，而且還非常有利于使描述信息上的一致性得到保障。如圖4中的安全目的模型構(gòu)建，就不必把相同內(nèi)容在各分支上反復(fù)出現(xiàn)，也使模型上分支重復(fù)減少。

(3)安全目的模型對(duì)SQL注入攻擊漏洞具體表述進(jìn)行支持，依據(jù)其能夠形成較為準(zhǔn)確的SQL注入輸出，有利于健全對(duì)SQL注入用例建模信息，當(dāng)前相關(guān)研究提出的攻擊樹并沒有考慮到較為明確表述攻擊效果，SQL注入漏洞反應(yīng)特點(diǎn)方面信息描述，所以難以充分指導(dǎo)生成包含預(yù)期輸出信息的SQL注入用例集合[5]。

(4)安全目的模型的SQL注入攻擊模型可以通過對(duì)子目的節(jié)點(diǎn)展開表述，表達(dá)SQL注入攻擊輸入之間分類信息。