【WG】WG客户端无法访问WEB服务器,攻击日志提示SQL Injection & Attacker IP Blacklist

发布时间: 2013-10-15 点击量:692 打印 字体:

故障现象:WG工作桥模式,串接链路。 用户新开一个网站,访问url为:http://210.27.x.x/emlib4/format/release/aspx/EML_HIGHTSEARCH.aspx? WG认为该网页的访问方式为SQL攻击行为,将客户端加入动态攻击黑名单,导致该用户无法访问该网页。

 

说明:当动态攻击黑名单功能开启后, IP对WEB服务器的访问匹配基本特征库中“SQL注入攻击”或“木马攻击”的特征,并且动作包含“block”时自动将该IP添加到动态攻击黑名单;

 

故障分析:

1)确认URL策略,开启基本特征库,动作阻止并日志,未开启自定义SQL自定义关键字;
2)排查攻击日志,发现访问该网站中的某个URL时触发了SQL注入的攻击,URL:210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx
日志信息:
2011-01-19 09:00:46 210.27.8.1 210.27.8.2 POST http 210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx SQL Injection Post Form block_log

3)访问该URL时,进行POST动作,查看POST中数据,提交的为一句SQL语句;

根据以上信息可确认:由于该网站应用程序需要使用SQL语句来传递相关信息,提交SQL语句为基本特征库所不允许的,此行为为高危动作,所以在动作为block的情况下,该访问时被阻止同时源IP加入动态攻击黑名单。

 

解决方案一:

将URL:210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx  添加为URL白名单;
该方案保证了该网站的其它URL的安全防护,但该URL的安全性降低;

解决方案二:
1)新建URL安全策略,该安全策略的基本特征库动作为仅日志或不启用;
2)高级可选操作:启用自定义SQL注入关键字过滤,并配置update,insert, drop,rename等可能对数据库进行修改删除操作的词用为SQL注入禁用词(其它默认关键词不要启用);
3)在相应的服务器安全组里,配置URL安全策略的“例外规则”,在例外规则中,指定对于以下URL路径启用上面新建的URL安全策略:210.27.x.x/emlib4/system/DataSource
该方案保证了网站所有的URL的安全防护,但如启用SQL自定义关键字,需和用户做好沟通,避免网站可能所用的SQL关键字出现在阻止列表中。

 

00 分享 纠错
相关条目