我们从SQL注入的详细过程来看,SQL注入是应用层的问题,它的本质原因并不是系统层的问题,接下来,我们将讨论一下SQL注入在系统层做的那些事,我们在系统层的防御可以辅助到那些作用
1.系统层防御的目标
1.SQL注入的本质原因不是由系统层的问题
因此,我们把所有的焦点,都放在系统层上面,可能不一定利于本质问题的解决,
2.系统层的防御是辅助的作用,是预防SQL注入与系统层进行交互提权,预防SQL注入权限的进一步扩大,使得SQL注入在系统层无所作为,这就是我们SQL注入在系统层,所能够达到的目标
2.系统层防御的办法
1.Iptables限制只允许特定的服务器IP和端口登录
实际上SQL注入对Iptables的这种限制,是没有作用的,但是,SQL注入提权成功,那么就能够很好的预防了,因此Iptables没有限制的情况,迅速跨到了其它的服务器,所以Iptables是即使SQL提权成功,仅仅是把它限制到一定的范围,没有扩散到限制之外的服务器和端口
2.使用应用防火墙对SQL注入拒绝waf
应用防火墙现在也有比较成熟的一个办法,我们可以搜索一下WAF有关的应用防火墙,这个防火墙就相当对我们的应用程序,另外的一个模块,也就是对我们应用程序的一个完善机制,所以当我们注入SQL的时候,就可以直接显示,SQL拒绝
我们来看一个示例,其实我们并不是攻击,我们只是探测一下,有应用防火墙的一种网站,它是如何进行防御的
我们看到51cto安全做的相当不错
我们看到这种,我们在后边and 1=2,看它有什么反应
我们看到,它会告诉我们,很抱歉,你会对网站造成威胁,你的访问就被阻绝掉了,我们看到它这个有应用防火墙,存在攻击的行为,因此,它就会直接的回绝掉,这种呢,就叫应用防火墙
3.数据库安全中间件,如greenSQL,安全狗等
很多网站,现在都会有安全狗的办法,那么这种就很好的把SQL注入拒绝掉了,greenSQL是国外的,一个商业的安全数据库防火墙,当然他的功能是比较强的,但是有一定的性能损耗,这就取决于我们对应用的要求程度以及安全的可能性,这需要我们做出一些权衡
3.小结
1.系统层防御的目标
2.系统层防御的办法