Nye forsvar for automatisert SQL-injeksjon attacks

Hva er nytt om denne siste runden av SQL-injeksjon angrep ... er både i hvilken grad angrepene er automatisert og selve omfanget som de er gjennomført.
Michael Cobb Bidragsyter


I dette tipset, la oss ta en titt på SQL-injeksjon angrep og undersøke hvordan du kan finne, isolere og ta opp de skadelige sidene i en ellers trygg nettside.

SQL injeksjon angrep av de siste
SQL-injeksjon angrep er ikke noe nytt. I en høyprofilert 2 003 tilfelle, for eksempel klær selskap Gjett Inc. led en SQL-injeksjon angrep på sin hjemmeside, som resulterte i et brudd på sikkerheten og en regjering ledet rettsoppgjør. På den tiden rettsdokumentene beskrevet SQL-injeksjon som oppstår " når en angriper kommer visse tegn i adressen (eller URL) bar på en standard nettleser for å lede programmet til å innhente informasjon fra databasene som støtter eller koble til nettstedet. " I retten, hadde det blitt funnet at angripere manipulert et program for å få tilgang, i klartekst, til hvert bord i guess.com databaser, inkludert de som følger med kjøpere 'kredittkortinformasjon.

Forpliktelsen som selskapene står overfor hvis de utsetter sensitive data ikke er endret. Hva er
nytt om denne siste runden av SQL-injeksjon angrep, derimot, er både i hvilken grad angrepene er automatisert og selve omfanget som de er gjennomført.

Den nye SQL-injeksjon angrep
Fra et teknisk perspektiv, dagens SQL-injeksjon angriperne er mer grundig i hvordan de oppsøke sårbare nettsteder. Ulike verktøysett blir brukt til å fremskynde utvinning prosessen. Tenk Asprox Trojan, som har blitt distribuert vidt og bredt etter en spam botnet. Her er hvordan hele prosessen fungerer, ifølge Joe Stewart, senior sikkerhetsforsker med Atlanta-baserte Secureworks Inc .:
En trojansk er installert av spam (som i seg selv sendt via kompromitterte verter)., En PC infisert av den trojanske laster ned en binær at når lansert, bruker Google til å søke etter potensielt sårbare nettsteder som bruker skjemaer bygget med Microsoft Active Server Pages. Søkeresultatene bli et mål liste for SQL-injeksjon angrep.
Trojan lanserer en SQL-injeksjon angrep mot disse nettstedene, at det går en andel av dem.
Besøkende til kompromitterte nettsteder er lurt til å laste ned et stykke ondsinnet Javascript-kode fra et annet område.
At kode dirigerer brukeren til et tredje område, der mer malware er vert, for eksempel kopier av Asprox eller Danmec (en passord stjele Trojan).

Disse trinnene indikerer bare hvor mye har endret seg i fem år. Tidligere ble Web programutviklere anbefales å teste og lappe koden sin på den slanke sjansen for at en SQL-injeksjon sårbarhet kan bli avdekket og utnyttet skadelig. Siste angrepene har imidlertid vist at sårbarheter er nå mye mer sannsynlig å bli avdekket og utnyttet skadelig. Utviklere bør derfor kraftig teste koden sin før distribusjon og raskt oppdatere den så snart nye feil rapporteres.

Å vite når et nettsted har blitt angrepet
Absolutt ingen bedrifts ønsker å vite spre malware. Så hvordan vet du om nettstedet ditt er kompromittert? Merkelig nok, kan det hende at svaret kommer i en kunngjøring fra Google. I et utmerket eksempel på hvordan hacking verktøy fungerer begge veier, Google, en stor aktør i det stopbadware.org prosjektet, overvåker nettsteder for " ødeleggende programvare, " defineres som spyware, malware og villedende adware. Faktisk, sender Google automatisk skadelig programvare varsler til følgende e-postadresser på domener der sine robotsøkeprogrammer lokalisere et problem:

* misbruk @ * admin @ * administrator @ * kontakt @ * info @ * postmaster @ * support @ * webmaster @

Selvfølgelig må en bedrift være forberedt på å motta disse meldingene, noe som høres utrolig enkle. Det kan være spam-filtre på disse adressene, eller enda verre, ingen utpekte mottaker, noe som betyr at meldingene kan gå ulest. Katalogisering og verifisering kontaktinformasjon for alle bedriftens domener er et godt første skritt i å svare på denne nye bølgen av angrep. Savvy sikkerhets proffene vil kanskje utnytte nyheten om disse angrepene for å skaffe ekstra ressurser for en grundig side vurdering

Den eksplosive veksten i Web aktivitet i løpet av de siste fem årene har resultert i mange ". Mistet " nettsteder, prosjekter som ble lansert senere forlatt uten skikkelig avslutning. Dessverre vil de ubønnhørlig grundige Google Web crawlere finne dem, og hvis de er potensielle mål, vil de til slutt bli angrepet. Heldigvis skjønt, en bedrift kan proaktivt fastslå om det har en " ødeleggende programvare " problem: alle nettsteder kan sjekkes gratis ved hjelp av Google Webmaster Tools.
For mer informasjon
Lær om en ny SQL-injeksjon angrep som truer Oracle-databaser. En leser spør vår ekspert panel hvordan å stoppe validering av inndata angrep.


De organisasjoner som er ubehagelig å stole på Google bør ta fatt på en detaljert gjennomgang av deres nettsider. Det er noen verktøy som kan hjelpe, og starter med Xenu link Sleuth, et gratis program som kan sjekke alle koblinger på et gitt område og rapportere en rekke feil. Husk å teste produksjonssted og til å kjøre sjekker fra en maskin som er utenfor bedriftens nettverk; ellers noen problemer kan være savnet.

Hvordan forberede for nye angrep
Fremover, ville en proaktiv strategi være å investere i en Web sårbarhetsskanner som de fra Acunetix Ltd og SPI Dynamics (nå eid av Hewlett-Packard Co.). En god Web sårbarhetsskanner - som ikke må forveksles med en nettverksskanner - får øye på alle kjente SQL-injeksjon sårbarheter på nettstedet ditt. En up-to-date Skanneren ser nye sårbarheter som de blir kjent.

Husk at forsvaret mot SQL-injeksjon angrep kan ikke være nok. Angripere gjennomfører samordnet og automatiserte søk etter mål og gjennomføre angrep på dem. Disse teknikkene kan godt brukes på andre Web-infrastruktur svakheter foruten SQL.

Til slutt, sikker kode gjennomgang på alle stadier av webapplikasjonen utviklingsprosessen og pre-produksjon sikkerhetstesting er nå viktigere enn noen gang. De bør bli utvidet med testing post-distribusjon som inkluderer sårbarhet skanning verktøy og nettstedet overvåking.