■吉林 孫瑤

單位人事管理部同事打來求助電話稱，在訪問某醫(yī)保網(wǎng)站辦理異地醫(yī)療業(yè)務(wù)時，突然開始出現(xiàn)問題。

他能登錄該網(wǎng)站首頁，也能登錄進去單位賬號，但當(dāng)輸入完醫(yī)保號并點擊“查詢”按鈕時，屏幕就彈出“請求數(shù)據(jù)成功，但回調(diào)方法出錯；請檢查自定義load回調(diào)函數(shù)”彈窗。

故障分析

故障描述顯示，網(wǎng)站一級和二級頁面能正常訪問，首先可以排除不是網(wǎng)絡(luò)不通的問題。

接下來排除一下是否是本機問題，換其他幾臺電腦操作，故障依舊，排除本機問題。網(wǎng)站訪問出現(xiàn)問題，按照之前的經(jīng)驗一般都是瀏覽器設(shè)置引起沖突的比較多，接下來對瀏覽器進行一番調(diào)整，挨個換了幾個常用瀏覽器，將站點填加到瀏覽器可信列表中，選擇以兼容模式運行，配置網(wǎng)頁隱私策略總是接受來自此網(wǎng)站的Cookie。這些操作之后，問題還是沒有解決。

看來不是瀏覽器的問題，會不會是網(wǎng)站系統(tǒng)本身出故障了呢？同事咨詢了該醫(yī)保QQ交流群，群里每天都有人登錄訪問進行相關(guān)操作，也沒有出現(xiàn)這種情況。同事說在家里電腦操作也沒有出現(xiàn)該問題?？磥韱栴}還是有針對性的，難道是單位網(wǎng)絡(luò)有限制？最后用手機移動網(wǎng)絡(luò)和電信網(wǎng)絡(luò)分別設(shè)置熱點均能成功登錄系統(tǒng)并能查詢賬戶，最終問題鎖定單位網(wǎng)絡(luò)。

單位網(wǎng)絡(luò)是通過上網(wǎng)行為管理設(shè)備實現(xiàn)的IP和物理地址靜態(tài)綁定，首先懷疑上網(wǎng)行為管理設(shè)備有限制，進入該設(shè)備，將人事部門同事電腦IP設(shè)置為全局排除，將該IP跳過設(shè)備限制，問題沒有解決。

同事的問題發(fā)生的時間節(jié)點是本周開始，本周機房上了一臺啟明星辰天清入侵防御系統(tǒng)，難道是這神器？初來乍到就如此威武？

進入入侵防御系統(tǒng)管理界面，在“日志報表”中查看入侵防御日志，在源IP里填寫人事部電腦IP地址，目標(biāo)IP里填寫醫(yī)保系統(tǒng)IP地址，選擇動作“reset”點擊“查詢”，查找是否有被攔截了的事件。果然，人事部門訪問醫(yī)保系統(tǒng)事件赫然列在查詢到的事件列表中，顯示事件名稱為：hTTP_SQL注入攻擊，認為這是典型的注入攻擊。至此案子破了。

故障解決

解決方法：在“入侵防御→特征”選項，找到“SQL白名單”并將目標(biāo)地址加入白名單列表。也可以直接點擊日志報表事件列表最右側(cè)“+”的圖標(biāo)，按提示“添加到白名單”。經(jīng)過此番操作，徹底解決了人事部門的問題。

故障反思

為什么會出現(xiàn)這種情況呢？經(jīng)過查看系統(tǒng)幫助說明以及咨詢設(shè)備方工程師，找出了大概原因。

目標(biāo)系統(tǒng)包含有高危的編碼，本例SQL注入攻擊是針對MySQL的一種攻擊手段。一般而言，當(dāng)頁面需要查詢數(shù)據(jù)庫時，需要用戶輸入查詢條件。如果頁面存在漏洞，攻擊者就可以在支持查詢數(shù)據(jù)的后面，再插入一個邏輯上為真的判斷式，使查詢條件無論前面什么數(shù)據(jù)時，都可以成立，這樣就可以訪問任何的數(shù)據(jù)。

在MySQL中，一個字符串，就可以等效于邏輯真。本例攻擊SQL中的select等語句，如頁面提供一個數(shù)據(jù)查詢：select username from table1 where id=1234，其含義是通過ID序號，查找名稱。如果攻擊者輸入“1or '1'”，則查詢語句就將會打印出表中所有名稱。基于此安全原因，被IPS攔截了。

但是從實際操作來看就是正常的訪問網(wǎng)站，也是正規(guī)網(wǎng)站??？這是IPS的誤報嗎？由于本攻擊模板的特征少，很接近自然語言，因此誤報率高。有可能是編碼人員的不良習(xí)慣，不是傳輸用戶的輸入條件，而是把用戶的輸入條件轉(zhuǎn)化為SQL子句的組成部分，完整傳輸，使其數(shù)據(jù)模式和攻擊模式相同。同時這種傳輸方式及其容易被攻擊者發(fā)現(xiàn)并利用。如果確認是編碼人員的不良習(xí)慣，希望盡快修改代碼，防止安全隱患。

問題再現(xiàn)

無獨有偶，剛解決上面的問題沒過多久，訪問該網(wǎng)站又出現(xiàn)，登錄首頁正常，登錄單位賬號失敗，頁面顯示“無法訪問此頁面”的問題了。有了上次的經(jīng)驗，這次直接進入入侵防御系統(tǒng)查看，果然神器又發(fā)威了。這次的攻擊事件是，HTTP通用目錄穿越漏洞，IPS懷疑應(yīng)用系統(tǒng)存在目錄穿越漏洞，此漏洞危害是允許遠程攻擊者訪問敏感文件。目錄穿越（Directory Traversal）是HTTP開發(fā)的一種形式，黑客在一個Web服務(wù)器上使用這個軟件除了可以訪問服務(wù)器的根目錄外還可以訪問目錄里面的數(shù)據(jù)。

解決辦法：這類攻擊沒有專門的白名單設(shè)置，最后通過單獨為訪問目標(biāo)系統(tǒng)建立了一個的安全策略，允許放行目標(biāo)系統(tǒng)IP。但是如果真的不是IPS誤判，建議應(yīng)用系統(tǒng)檢測是否存在漏洞，防患于未然。

問題是為什么之前能夠順利訪問呢？漏報了？咨詢了設(shè)備方工程師，可能是目標(biāo)系統(tǒng)近期有所調(diào)整，也有可能是由于數(shù)據(jù)庫可以有多種表達方式，有可能無法判斷，有一定漏報概率。

結(jié)語

通過此次為人事部門處理訪問網(wǎng)站應(yīng)用系統(tǒng)故障，通過系列排查，最終鎖定IPS，了解到了兩類攻擊類型，雖然根據(jù)實際情況都給予了特別策略予以放行，但是網(wǎng)絡(luò)安全意識絕對不能因此放松。