稳捷网络保护网站远离SQL注入攻击

一个被命名为LizaMoon的（SQL Injection）SQL注入攻击席卷全球，许多网站遭受攻击，网页内容中被塞了lizamoon字串，疑似挂马链接，透过Google查询 lizamoon. com关键词，被稙入恶意链接的URL数在两天内由28,000个急速增加到380,000个，甚至苹果的iTune网站也名列其中……

对此，稳捷网络公司大中国区总经理彭朝晖先生表示，稳捷网络公司一直关注类似的SQL注入与黑客攻击事件。此次LizaMoon攻击利用了一个很巧妙的SQL注入，导致全球5万中文网页被感染。

彭朝晖先生表示：“这种攻击并非全新手段，10年前就出现过，当时很多安全专家都热烈讨论过。从本世纪初的流行，到现在变成主要威胁，主要原因是安全从网络转向应用。”

5年前，广大用户关注的安全焦点在网络层，IPS、IDS、FW、科学等，当时强调的都是数据传输的过程中不要被窃取、非法使用、有漏洞，都是网络层安全，以致后来都变成了各色标准的方案，被广大用户熟知。

但是这次事件发现，很多黑客都不走网络底层了，更多更严重的威胁都是从应用层来的。应用层攻击已经成为网络安全的主要威胁。不幸的是，这么多网页被感染，说明客户对来自应用层威胁防范意识还是很弱，建设网络还是过分强调网络层措施，对应用层措施不是没有意识到，或者就是不知道相应的防御方法。

另外，彭朝晖先生强调说：“现有的应用层防护手段还很薄弱，大部分黑客的入侵都是从应用层入侵，这次也是非常的典型，传统的基于网络层的防范手段都不管用了，而一些应用层终端保护软件也力不从心。”

在此很多安全专家表示，国际上OWSAP（Web安全联盟）的报告指出，当前SQL注入的危害非常严重的。在OWASP前十大Web应用攻击中，SQL排第一位，占了30%的量。第二是跨站脚本攻击，第三是截取会话，第四是不安全会话的引用。比如调用一个脚本或者Cookie，这些调用可以被某些权限的人侦测到，导致被非法滥用操作。换言之，应用层攻击方式很容易实现，很多工具被设计为发现网站漏洞，但也可以被黑客滥用去非法扫描用户网站。来自应用层的攻击比来自底层的更加复杂，而且更加隐蔽。

根据OWSAP的报告，目前传统的高端防火墙设备以及一些高端UTM设备，仍旧没有办法去防御这些新型的应用层威胁。这些设备原理上还是四层以下的设备，其根基还是基于数据包的分析与监测。

为此，稳捷网络公司大中国区市场经理赵晓涛先生表示，稳捷网络公司一直坚持只有专业的Web安全网关才能针对应用层做到有针对性的防御，保证用户网络流量的干净与价值。事实上，稳捷网络公司BeSecure Web安全网关可以做到基于七层的深度内容监测，确保用户的应用安全。

“以前总说安全是专业人士的范畴，但是此次事件不光针对企业网站，而且针对千万的普通网民。”赵晓涛先生如是说。

对于SQL注入攻击的防护，稳捷网络公司提出了三大建议：第一，编程人员需要在开发之初就考虑到相应的安全漏洞防护与规则，把不安全的编码习惯屏蔽掉；第二，还需要配合应用层安全的设备去防护。比如通过WAF（Web应用防火墙）中的规则数据库，通过比对SQL注入的方式去阻挡；第三，尽快部署Web安全网关。因为WAF目前暴露出了很多自己的问题，比如规则严格就会出现大量的误判误杀，导致很多正常用户的访问不成功，或者导致大量的漏判。一些攻击通过换一种规则，比如这次事件就是，WAF仍然毫无办法。因此还必须加上专业的Web安全网关去保护。

Web安全网关的防护是从应用的角度出发的。比如这次事件，LizaMoon刚注入进去的时候没有危害，只要注入进去的网页不被点开就不会发作。当前SQL注入的特点就是向外联接恶意站点或外泄数据而非法牟利。换言之，总会有一个IP请求发生，而Web安全网关就是阻止其后续的危害操作行为的发生。

这样一来，即便网站被挂马，Web安全网关一样可以阻止被挂马网站中恶意行为的发生，恶意数据流也出不去，而这是普通应用层防护设备做不到的。毫无疑问，在三层体系之下，网站的应用层安全就可以万无一失。

【编辑推荐】