【WG】某客户端首次可以访问WG保护的WEB服务器,再次访问时无法打开,隔一段时间访问又可以正常打开

发布时间: 2013-10-13 点击量:558 打印 字体:

1)查看对应的攻击日志:

2011-01-19 09:00:46 210.2.8.1 210.2.8.3 POST http 210.2.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx SQL Injection Post Form block_log

2)从攻击日志可见,客户开启了动态攻击黑名单,但IP对WEB服务器的访问匹配基本特征库中“SQL注入攻击”或“木马攻击”的特征,并且动作包含“block”时自动将该IP添加到动态攻击黑名单。

3)与用户沟通后得知信息:由于该网站应用程序需要使用SQL语句来传递相关信息;所以可以确认该访问网站的该行为是合法的

解决方案:

解决方案一:

将URL:210.2.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx  添加为URL白名单;

该方案保证了该网站的其它URL的安全防护,但该URL的安全性降低;

解决方案二:

1)新建URL安全策略,该安全策略的基本特征库动作为仅日志或不启用;

2)高级可选操作:启用自定义SQL注入关键字过滤,并配置update,insert, drop,rename等可能对数据库进行修改删除操作的词用为SQL注入禁用词(其它默认关键词不要启用);

3)在相应的服务器安全组里,配置URL安全策略的“例外规则”,在例外规则中,指定对于以下URL路径启用上面新建的URL安全策略:210.2.x.x/emlib4/system/DataSource

该方案保证了网站所有的URL的安全防护,但如启用SQL自定义关键字,需和用户做好沟通,避免网站可能所用的SQL关键字出现在阻止列表中。

 

00 分享 纠错
相关条目