學用腳本類IDS抵御WEB攻擊

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統”。傳統的IDS是一個監聽設備，這個設備通過網絡鏈路掛接在服務器和客戶端所有流量都必須流經的鏈路 上，IDS就是通過特有IDS規則匹配黑客惡意攻擊入侵行為的流量，進行即時的監測和報警。

在歷年來開源的Web程序中，被披露最多最嚴重的安全漏洞一直是SQL注射，為了減少SQL注射漏洞對各大網站造成的安全威脅，web安全研究組織 80SEC在2008年編寫了國內第一個腳本類IDS - MysqlIds，使用MysqlIds可以更好的、更有效率的幫助網站管理員和程序員抵御和檢測Sql注射漏洞。

現在流行的技術大部分是旁路監聽，一般不會因為IDS的性能影響網站正常的訪問流量，而Mysqlids也是按照類似的思路同樣不會影響程序的性能。 Mysqlids存在於應用程序和數據庫操作之間的一個環節，完全以數據庫的語法來分析執行的SQL語句，而不是采用傳統的關鍵字檢測的方法，對於一些非 正常的SQL語句能進行阻止並且記錄相關的信息，這樣就可以很快地定位程序中存在注射漏洞的地方，為漏洞的及時修復提供必要的信息。

MysqlIds原理

MysqlIds是由PHP編寫的，通過一個封裝的安全函數，監測程序中運行的SQL查詢語句，針對黑客經常使用的union查詢、select子查詢、 不常用的SQL注釋符、文件操作和benchmark等危險函數行為進行報警，這個IDS是無縫封裝在程序裡的數據庫操作流程裡的，也就是黑客通過程序漏 洞進行惡意的SQL注射都能被非常詳細的監測到，程序員或者網站站長甚至能使用IDS發現自己網站程序中未被察覺的0DAY漏洞。下面我就分析 MysqlIds的部分代碼，使大家可以從原理上更容易的理解MysqlIds，我們看看MysqlIds如何監測黑客SQL注入經常使用的惡意的聯合查 詢。部分代碼如下：

Code highlighting produced by Actipro CodeHighlighter （freeware）
-->if （strpos（$clean, 'union'） !== false && preg_match（'~（^[^a-z]）union（$ [^[a-z]）~s', $clean） != 0）{
$fail = true;
$error="union detect";
}

MysqlIds使用了PHP中strpos函數來判斷程序執行的SQL語句是否存在惡意的SQL注射，這個函數可以高效率的查找指定字符串返回一個布爾 值，當程序執行SQL語句中使用聯合查詢，規則條件就開始生效，啟用preg_match函數調用IDS規則來匹配惡意的聯合查詢語句，這個IDS規則是 精心構造的正則表達式，類似於大家使用的傳統IDS規則，由於MysqlIds是在程序的數據庫操作層來檢測，所有能抓取到有效且實實在在的安全問題，且 更有效更具有針對性。MysqlIds還針對程序運行的SQL語句出現的異常情況進行了監控，如SQL語句中出現異常的注釋符，一般黑客進行SQL注射攻 擊，很多情況下需要注釋符完成SQL注射攻擊的SQL語句，同時黑客還有可能使用一些比較危險的MYSQL函數和功能，如sleep、 benchmark、load_file和into outfile功能等，這些黑客在程序中使用SQL注射的惡意動作都能被MysqlIds監測到。　MysqlIds與傳統Web安全防御措施的區別

傳統的Web安全防御措施都非常滯後，在Web程序裡未知的漏洞被攻擊的情況下，管理員往往要排查很多東西才能找到問題的關鍵點，有的時候可能是使用的程 序中存在一個未知的SQL注射漏洞被黑客利用，卻無法確定黑客是如何攻擊，而導致整個網站一而再，再而三的淪陷。合理地部署Mysqlids後，就可以幫 助管理員第一時間准確的定位網站的Web程序漏洞，關鍵在於MysqlIds核心的日志功能，它能准確的將每次精確匹配報警後的信息存入日志，代碼如下：

Code highlighting produced by Actipro CodeHighlighter （freeware）
-->if （！empty（$fail））
{
fputs（fopen（$log_file,'a+'），"$db_string$error\r\n"）；
die（"Hacking Detect
http://www.80sec.com"）；
}
else {
return $db_string;
}
}

當程序的SQL語句被監測到惡意行為後，會打開相應條件語句裡的fail開關，也就是觸發監測後根據信息會留下一條精確的日志信息。管理員排查日志就能精確定位程序中的SQL注射漏洞。

如何部署MysqlIds

MysqlIds暫時只支持PHP+MYSQL架構的Web程序，作為開源程序和其原理的靈活性，大家可以很方便將MysqlIds和自己程序無縫結合。 比如國內站長采用比較廣泛的一款PHP建站程序DeDecms，在DeDecms歷史版本中被披露過很多安全問題，其中SQL注射是其安全問題中危害最大 也最多的問題。為了解決SQL注射問題，DedeCms在其發布的最新版中的數據庫類中封裝了80sec的Mysqlids，以用來抵御和檢測Sql注射 漏洞。我們可以參考DeDecms的MYSQL數據庫類，將MysqlIds部署在程序中：