【WG】WG客户端无法访问WEB服务器，攻击日志提示SQL Injection & Attacker IP Blacklist

发布时间：2013-10-15

点击量：3119

故障现象：WG工作桥模式，串接链路。用户新开一个网站，访问url为：http://210.27.x.x/emlib4/format/release/aspx/EML_HIGHTSEARCH.aspx? WG认为该网页的访问方式为SQL攻击行为，将客户端加入动态攻击黑名单，导致该用户无法访问该网页。

说明：当动态攻击黑名单功能开启后， IP对WEB服务器的访问匹配基本特征库中“SQL注入攻击”或“木马攻击”的特征，并且动作包含“block”时自动将该IP添加到动态攻击黑名单；

故障分析：

1）确认URL策略，开启基本特征库，动作阻止并日志，未开启自定义SQL自定义关键字；
2）排查攻击日志，发现访问该网站中的某个URL时触发了SQL注入的攻击，URL：210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx
日志信息：
2011-01-19 09:00:46 210.27.8.1 210.27.8.2 POST http 210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx SQL Injection Post Form block_log

3）访问该URL时，进行POST动作，查看POST中数据，提交的为一句SQL语句；

根据以上信息可确认：由于该网站应用程序需要使用SQL语句来传递相关信息，提交SQL语句为基本特征库所不允许的，此行为为高危动作，所以在动作为block的情况下，该访问时被阻止同时源IP加入动态攻击黑名单。

解决方案一：

将URL：210.27.x.x/emlib4/system/DataSource/GetTreeCtrlItemResult_2Loader.aspx 添加为URL白名单；
该方案保证了该网站的其它URL的安全防护，但该URL的安全性降低；

解决方案二：
1）新建URL安全策略，该安全策略的基本特征库动作为仅日志或不启用；
2）高级可选操作：启用自定义SQL注入关键字过滤，并配置update,insert, drop，rename等可能对数据库进行修改删除操作的词用为SQL注入禁用词（其它默认关键词不要启用）；
3）在相应的服务器安全组里，配置URL安全策略的“例外规则”，在例外规则中，指定对于以下URL路径启用上面新建的URL安全策略：210.27.x.x/emlib4/system/DataSource
该方案保证了网站所有的URL的安全防护，但如启用SQL自定义关键字，需和用户做好沟通，避免网站可能所用的SQL关键字出现在阻止列表中。