“数据库安全审计应用实践系列文案之三 追查数据库SQL注入30小时”

本篇文章1688字，读完约4分钟

北京-07-18 (中国商业电信) )事件过程(/br/) )/br/)年10月19日上午，同事在日常巡检时在对外服务电子商务系统后台oracle数据库出现了一位叫zwell的客户，同时该客户 根据

管理规定，所有oracle数据库都有ddl触发器。 查看触发器，可以看到

1createzwellcreateuserzwellidentifiedby * * * * wd _ web/9/13:53:5911028547传真系统 1 wd/] 1wd _ web 12200617辊速优惠9:38:2010.0.8.10 Grantdbatozwell

此客户为/9/7 13:53:59

这个客户已经成立了一个多月，因为我们只定期检查拥有dba权限的客户，所以我们在这个客户成立很久以后才发现这个客户。

通过检查web服务器的apache日志，发现/9/7 13:53:59秒左右有大量的sql注入行为，sql注入入侵的来源IP(113.71.184.32 )为佛山省。

图1

但是，由于apache的日志记录时间序列问题，当时没有找到sql注入的对应日志。

10月19日下午，紧急对该电子商务网站进行漏洞扫描，发现了高危漏洞。

10月19日晚，由于无法在短时间内确认被入侵的途径和目的，经过多方协商，

1.被APP系统数据库的客户称为imp _ full _ dada

2.尽快更改数据库帐户的密码和相关操作系统的密码。

3.将数据库的版本从10.2.0.1升级到10.2.0.5。

4.鉴定数据库中的重要新闻。

10月20日早晨，对apache日志进行了仔细检查，发现这次入侵是基于sql方法的入侵，入侵入口是/service/service.do盲注射方法，通过sql注入入侵的源IP ( 10 年10月20日下午，再次检查发布顾客制作sql的ptserver8服务器的apache日志，发现了与顾客制作相对应的日志新闻(如图2所示)。

图2

图3

客户操作的创建也通过/service/service.do进行了sql注入，从而明确了整个入侵过程。

事件的解体

在这次的安全事件中，黑客采用了网页盲呼叫的漏洞，通过sql注入创建zwell客户、并， 从利用oracle 10.2.0.1的诉权漏洞将dbell客户授予zwell客户的

经验中吸取的教训

1.网络APP应用程序要进行完整的代码检查 例如，采用最常见的绑定变量，但有很多消除sql注入漏洞的方法

2.没有进行完整的代码安全检查
[/br// ] 同样的sql注入型漏洞通常可以检查，但由于要尽快上线，所以经验也不充分。 因此，APP具有漏洞并已上线。 / br/]
3.数据库版本未升级

这是一个典型的问题。 数据库版本过低会导致权限漏洞。 如果数据库已安装补丁，则zwell客户至少不会被提升权限。

4 4.日常检查不充分

因为只检查拥有DBA权限的客户，所以在被攻击后很长一段时间内都会发现攻击行为。

5.保存日志
在网络APP中，必须保存日志。 如果日志没有更改，则基本上可以从日志中再现安全问题的完整过程。

6.即使发现了来源ip，该ip也大多是肉机ip。 例如，在此次事件中，两次行为应由同一人进行，但做客户的来源ip为广东省佛山市电信，提权ip为北京市东四idc机房。

启明星辰企业数据库审核专家的评论

数据库的风险主要有两个方面:外部攻击和内部人员(有权限的人)的违规操作(故意或无意识) 这个文本例子是外部攻击的典型过程。 具体步骤是利用系统漏洞进行攻击，建立账户，利用本地漏洞获取权利，然后利用授权客户进行一系列违法操作。

从上例可以看出，为了确保数据库的安全性，除了数据库系统本身的安全性以外，还需要考虑APP系统的安全性。 建议不仅要加强数据库系统的安全和严格的权限控制，还要对APP系统进行代码漏洞检查、入侵防护。 在安全建设时，除了数据库权限控制、数据加密、安全鉴定外，还考虑了对APP服务器的代码检查、入侵防御等措施，建立了数据库加密、数据库鉴定、web APP防火墙

来源：企业信息港