小米平板5 Pro 12.4簡(jiǎn)評(píng):多專多能 兼顧影音娛樂的大屏利器
疫情帶來了網(wǎng)課,網(wǎng)課盤活了安卓平板,安卓平板市場(chǎng)雖然中途停滯了幾年,但好的一點(diǎn)就是停滯的這幾年行業(yè)又有了新的發(fā)展方向,例如超窄邊框、高刷新率、多攝鏡頭組合等,這就讓安卓
作者 | 陳峻
審校 | 重樓
近年來,隨著人們使用Web應(yīng)用的與日俱增,各種與在線交易和通信相關(guān)的大量個(gè)人數(shù)據(jù)被存儲(chǔ)在其后端的數(shù)據(jù)庫中。對(duì)于那些由數(shù)據(jù)庫驅(qū)動(dòng)的Web應(yīng)用而言,SQL注入攻擊是一種相當(dāng)嚴(yán)重的安全風(fēng)險(xiǎn)。攻擊者可以通過利用系統(tǒng)漏洞,繞過應(yīng)用防火墻,未經(jīng)授權(quán)地訪問到底層數(shù)據(jù)庫,并竊取各種敏感的數(shù)據(jù)信息。因此,我們需要制定一套針對(duì)SQL注入攻擊的有效應(yīng)對(duì)措施,來提高Web應(yīng)用的整體安全態(tài)勢(shì)。
作為一種典型的攻擊形式,SQL注入(簡(jiǎn)稱SQLi)通常會(huì)使用惡意SQL代碼,來操縱后端數(shù)據(jù)庫,獲取機(jī)密信息和數(shù)據(jù)庫管理員權(quán)限,進(jìn)而盜取用戶列表、以及破壞整個(gè)數(shù)據(jù)庫。目前,根據(jù)訪問后端數(shù)據(jù)的方法和潛在危害,我們可以將SQL注入分為:
當(dāng)攻擊者可以使用同一通信通道,實(shí)施攻擊并收集攻擊結(jié)果時(shí),這種攻擊就被稱為帶內(nèi)SQL注入。作為一種最流行、最直接的攻擊,帶內(nèi)SQL注入又包括:基于錯(cuò)誤的SQL注入和基于聯(lián)合的SQL注入兩種最常見的形式。
與帶內(nèi)SQL注入相比,推理SQL注入的攻擊時(shí)間更長(zhǎng)。攻擊者可以通過發(fā)送有效負(fù)載、分析Web應(yīng)用的響應(yīng)、以及數(shù)據(jù)庫服務(wù)器的相應(yīng)行為,來重新創(chuàng)建數(shù)據(jù)庫結(jié)構(gòu)。由于無法獲取Web應(yīng)用傳遞的數(shù)據(jù),因此攻擊者無法查看到類似帶內(nèi)攻擊的結(jié)果。而且,由于攻擊者需要逐個(gè)字符地枚舉數(shù)據(jù)庫,因此在攻擊大型數(shù)據(jù)庫時(shí),其效率比較低下。
目前,推理SQL注入也包含:基于盲布爾的SQL注入和基于盲時(shí)間的SQL注入兩種形式。
由于依賴的是在Web應(yīng)用數(shù)據(jù)庫服務(wù)器上已啟用的功能,因此帶外SQL注入并不常見。
通常,Web應(yīng)用防火墻(簡(jiǎn)稱WAF)可以通過篩選和監(jiān)控Web應(yīng)用與互聯(lián)網(wǎng)之間的HTTP流量,以及時(shí)發(fā)現(xiàn)跨站偽造、跨站腳本、文件包含和SQL注入等常見攻擊。在OSI模型中,WAF工作在第七層。作為一種反向代理,它往往被安裝在Web應(yīng)用的前端,從而在客戶端請(qǐng)求到達(dá)服務(wù)器之前形成一道中間件式的屏障。和其他防火墻類似,WAF也需要通過一系列規(guī)則與策略的集合,來過濾惡意請(qǐng)求,進(jìn)而防范應(yīng)用漏洞被利用。目前,經(jīng)常被部署到Web應(yīng)用系統(tǒng)中的WAF類型包括:軟件型WAF、硬件型WAF、云WAF、以及Web應(yīng)用內(nèi)置的WAF服務(wù)。
上圖展示的是WAF防范SQL注入的邏輯過程。可見,WAF強(qiáng)大之處在于,它可以快速、方便地執(zhí)行策略,并按需變更規(guī)則,從而對(duì)各種攻擊性請(qǐng)求做出更快的反應(yīng)。
那么,WAF到底是遵循一個(gè)什么樣的流程來對(duì)攻擊進(jìn)行檢測(cè)的呢?下面我們以一個(gè)典型的軟件型WAF為例,來深入探究。
我們常說“道高一尺,魔高一丈”,針對(duì)WAF在產(chǎn)品設(shè)計(jì)和部署配置上的參差不齊,SQL注入攻擊者時(shí)常會(huì)運(yùn)用各種手段來繞過WAF,達(dá)到攻擊目的。例如,由于不同的WAF產(chǎn)品會(huì)自定義不同的警告頁面,因此攻擊者可以根據(jù)不同的頁面信息,來辨別出Web應(yīng)用使用了哪一款WAF,從而制定出相應(yīng)的能夠繞過WAF的數(shù)據(jù)請(qǐng)求特征。下面便是該領(lǐng)域的一些典型威脅與漏洞:
此外,常見的WAF繞過方法還有:關(guān)鍵字替換,特殊符號(hào)與編碼,利用注釋,重復(fù)參數(shù)污染,緩沖區(qū)溢出,以及利用多種繞過技術(shù)打“組合拳”,通過未經(jīng)授權(quán)地訪問Web應(yīng)用的系統(tǒng)文件,進(jìn)而改變預(yù)期運(yùn)行邏輯。
綜上所述,針對(duì)Web應(yīng)用的SQL注入攻擊與應(yīng)對(duì),好似一個(gè)永無止境的“貓鼠游戲”。我們只有通過持續(xù)檢測(cè),持續(xù)跟蹤,持續(xù)調(diào)整,持續(xù)更新,以及持續(xù)引入新的防御技術(shù),才能更加靈活地應(yīng)對(duì)SQL注入、遠(yuǎn)程代碼執(zhí)行(RCE)、以及跨站點(diǎn)腳本(XSS)等復(fù)雜多變的攻擊,才能在這場(chǎng)安全競(jìng)賽中占得先機(jī)。
陳峻(Julian Chen),51CTO社區(qū)編輯,具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn),善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控,專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)。
本文鏈接:http://www.tebozhan.com/showinfo-26-89875-0.html聊聊針對(duì)Web應(yīng)用的SQL注入攻擊與應(yīng)對(duì)策略
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識(shí),若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理。郵件:2376512515@qq.com
上一篇: CSS 實(shí)現(xiàn)從上到下從左到右的列表布局
下一篇: 大灣區(qū)首個(gè)大規(guī)模全液冷智算中心完工:一期投資超 32 億元,可提供 1.5 萬 P 算力
Copyright ? 2016-2023 天津谷騏科技有限公司 版權(quán)所有 sitemap.xml
違法及侵權(quán)請(qǐng)聯(lián)系:2376512515@qq.com 津ICP備18001702號(hào)
津公網(wǎng)安備 12010102000574號(hào)