SQL注入攻击及其防范检测技术研究

核心提示： 在Web服务器中如果启用了日志记录，则IIS日志会记录访问者的IP地址，SQL注入攻击及其防范检测技术研究(5)，访问文件等信息，SQL注入攻击往往会大量访问某一个页面文件（存在SQL注入点的动态网页），如果条件允许，还可以增加短信发送，日志文件会急剧增加，通过查看日志文件的大小以及日志文

在Web服务器中如果启用了日志记录，则IIS日志会记录访问者的IP地址，访问文件等信息，SQL注入攻击往往会大量访问某一个页面文件（存在SQL注入点的动态网页），日志文件会急剧增加，通过查看日志文件的大小以及日志文件中的内容，也可以判断是否发生过SQL注入攻击。

（3）其它相关信息判断

SQL注入攻击成功后，入侵者往往会添加用户、开放3389远程终端服务以及安装木马后门等，可以通过查看系统管理员账号、远程终端服务器开启情况、系统最近日期产生的一些文件等信息来判断是否发生过入侵。

3.2 一般的SQL注入攻击防范方法

SQL注入攻击防范方法目前已经有很多，总结起来有下面一些：

（1） 在服务端正式处理之前对提交数据的合法性进行检查；

（2） 封装客户端提交信息；

（3） 替换或删除敏感字符/字符串；

（4） 屏蔽出错信息。

（5）不要用字串连接建立SQL查询，而使用SQL变量，因为变量不是可以执行的脚本；

（6）目录最小化权限设置，给静态网页目录和动态网页目录分别设置不同权限，尽量不给写目录权限；

（7）修改或者去掉Web服务器上默认的一些危险命令，例如ftp、cmd、wscript等，需要时再复制到相应目录；

（8）数据敏感信息非常规加密，通过在程序中对口令等敏感信息加密都是采用md5函数进行加密，即密文＝md5(明文)，本文推荐在原来的加密的基础上增加一些非常规的方式，即在md5加密的基础上附带一些值，如密文＝md5(md5(明文)＋123456)；

4　SQL注入攻击防范模型

4.1SQL注入攻击防范模型

在前人提出的SQL 注入攻击的检测/防御/备案模型基础上[8][9], 我们进行了检测过程的优化，提出了一种SQL自动防范模型如图1所示，本模型中所有检测都在服务器端进行，首先对IP地址进行检测，如果该IP地址在SQL注入攻击库中，则禁止该用户的访问，并再次将相关信息添加到SQL注入攻击库中；如果用户是首次访问，则对提交字符进行检测，如果是非法字符，则检测是否达到规定的访问值，如果达到则禁止用户访问，同时发送邮件给系统管理员。本模型可以防止攻击者穷举攻击并可自由设置攻击次数的上限，一旦到达上限，系统将自动发送邮件给管理员，管理员收到邮件后可以进行相应的处理，如果条件允许，还可以增加短信发送，增强了SQL注入攻击的自动防范能力。