交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1、故障现象
SQL注入安全防护导致网站打不开属于用户网站特征类故障,XSS跨站攻击等都在此排查内容,下文以SQL注入攻击为例,其他安全防护导致的攻击同如下处理。
WG工作桥模式,串接链路。 用户新开一个网站,访问url为:http://210.27.x.x/emlib4/format/release/aspx/EML_HIGHTSEARCH.aspx? WG认为该网页的访问方式为SQL攻击行为,将客户端加入动态攻击黑名单,导致该用户无法访问该网页。
2、故障可能原因
安全防护中SQL注入防护与网站业务有冲突
3、故障处理流程
4.故障处理步骤
步骤1:确认故障现象
与用户确认详细的故障现象,如:具体某个网页无法打开,需收集具体URL信息;某业务无法执行,需收集具体URL信息和具体操作,
步骤2:检查修改为监测模式后是否正常
在已收集受影响业务的URL信息后,再查询WG“攻击日志”。确认攻击日志中的 攻击动作、攻击域等信息。
说明:当动态攻击黑名单功能开启后, IP对WEB服务器的访问匹配基本特征库中“SQL注入攻击”或“木马攻击”的特征,并且动作包含“block”时自动将该IP添加到动态攻击黑名单;
步骤3:分析网站业务
1)确认URL策略,开启基本特征库,动作阻止并日志,未开启自定义SQL自定义关键字;
2)排查攻击日志,发现访问该网站中的某个URL时触发了SQL注入的攻击,URL:210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx
日志信息:
2011-01-19 09:00:46 210.27.8.1 210.27.8.2 POST http 210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx SQL Injection Post Form block_log
3)访问该URL时,进行POST动作,查看POST中数据,提交的为一句SQL语句;
根据以上信息可确认:由于该网站应用程序需要使用SQL语句来传递相关信息,提交SQL语句为基本特征库所不允许的,此行为为高危动作,所以在动作为block的情况下,该访问时被阻止同时源IP加入动态攻击黑名单。
步骤4:优化WG策略
对于该故障,我们可以有两种优化,两个方案具体操作如下;
优化方案一:
将URL:210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx 添加为URL白名单;
该方案保证了该网站的其它URL的安全防护,但该URL的安全性降低;
优化方案二(推荐):
1)新建URL安全策略,该安全策略的基本特征库动作为仅日志或不启用;
2)高级可选操作:启用自定义SQL注入关键字过滤,并配置update,insert, drop,rename等可能对数据库进行修改删除操作的词用为SQL注入禁用词(其它默认关键词不要启用);
3)在相应的服务器安全组里,配置URL安全策略的“例外规则”,在例外规则中,指定对于以下URL路径启用上面新建的URL安全策略:210.27.x.x/emlib4/system/DataSource
该方案保证了网站所有的URL的安全防护,但如启用SQL自定义关键字,需和用户做好沟通,避免网站可能所用的SQL关键字出现在阻止列表中。
步骤5:收集信息后,请联系4008111000协助处理
如果经以上1-4个步骤排查后故障无法解决,请将根据步骤1-4检查配置打包压缩,同时准备好WG设备的远程方式后联系4008-111000协助处理。
1)确认后故障现象:受影响的URL、网站和复现步骤
2)攻击日志;
3)WG的配置截图;
4)网站业务分析结果;