【WG】WG的WEB安全类异常，即设备上线导致网站业务异常,SQL注入安全防护导致网站某页面无法打开

发布时间：2013-11-24

点击量：2752

1、故障现象

SQL注入安全防护导致网站打不开属于用户网站特征类故障，XSS跨站攻击等都在此排查内容，下文以SQL注入攻击为例，其他安全防护导致的攻击同如下处理。

WG工作桥模式，串接链路。用户新开一个网站，访问url为：http://210.27.x.x/emlib4/format/release/aspx/EML_HIGHTSEARCH.aspx? WG认为该网页的访问方式为SQL攻击行为，将客户端加入动态攻击黑名单，导致该用户无法访问该网页。

2、故障可能原因

安全防护中SQL注入防护与网站业务有冲突

3、故障处理流程

4.故障处理步骤

步骤1：确认故障现象

与用户确认详细的故障现象，如：具体某个网页无法打开，需收集具体URL信息；某业务无法执行，需收集具体URL信息和具体操作，

步骤2：检查修改为监测模式后是否正常

在已收集受影响业务的URL信息后，再查询WG“攻击日志”。确认攻击日志中的攻击动作、攻击域等信息。

说明：当动态攻击黑名单功能开启后， IP对WEB服务器的访问匹配基本特征库中“SQL注入攻击”或“木马攻击”的特征，并且动作包含“block”时自动将该IP添加到动态攻击黑名单；

步骤3：分析网站业务

1）确认URL策略，开启基本特征库，动作阻止并日志，未开启自定义SQL自定义关键字；
2）排查攻击日志，发现访问该网站中的某个URL时触发了SQL注入的攻击，URL：210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx
日志信息：
2011-01-19 09:00:46 210.27.8.1 210.27.8.2 POST http 210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx SQL Injection Post Form block_log

3）访问该URL时，进行POST动作，查看POST中数据，提交的为一句SQL语句；

根据以上信息可确认：由于该网站应用程序需要使用SQL语句来传递相关信息，提交SQL语句为基本特征库所不允许的，此行为为高危动作，所以在动作为block的情况下，该访问时被阻止同时源IP加入动态攻击黑名单。

步骤4：优化WG策略

对于该故障，我们可以有两种优化，两个方案具体操作如下；

优化方案一：

将URL：210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx 添加为URL白名单；
该方案保证了该网站的其它URL的安全防护，但该URL的安全性降低；

优化方案二（推荐）：
1）新建URL安全策略，该安全策略的基本特征库动作为仅日志或不启用；
2）高级可选操作：启用自定义SQL注入关键字过滤，并配置update,insert, drop，rename等可能对数据库进行修改删除操作的词用为SQL注入禁用词（其它默认关键词不要启用）；
3）在相应的服务器安全组里，配置URL安全策略的“例外规则”，在例外规则中，指定对于以下URL路径启用上面新建的URL安全策略：210.27.x.x/emlib4/system/DataSource
该方案保证了网站所有的URL的安全防护，但如启用SQL自定义关键字，需和用户做好沟通，避免网站可能所用的SQL关键字出现在阻止列表中。