一種檢測資料庫是否遭到跨站腳本攻擊的方法及裝置的製作方法
2023-06-05 15:13:06 4
專利名稱:一種檢測資料庫是否遭到跨站腳本攻擊的方法及裝置的製作方法
技術領域:
本發明涉及網絡安全技術領域,具體涉及一種檢測資料庫是否遭到跨站腳本攻擊 的方法及裝置。
背景技術:
XSS攻擊又叫CSS (Cross Site Script),跨站腳本攻擊。它指的是惡意攻擊者往 Web頁面裡插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web裡面的html代碼會被 執行,從而達到惡意用戶的特殊目的。XSS屬於被動式的攻擊,因為其被動且不好利用,所以 許多人常忽略其危害性。跨站攻擊的方式一、本地利用漏洞,這種漏洞存在於頁面中客戶端腳本自身。其攻擊過程如下所示A給B發送一個惡意構造了 Web的URL。B點擊並查看了這個URL。惡意頁面中的JavaScript打開一個具有漏洞的HTML頁面並將其安裝在B電腦上。具有漏洞的HTML頁面包含了在B電腦本地域執行的JavaScript。A的惡意腳本可以在B的電腦上執行B所持有的權限下的命令。二、反射式漏洞,這種漏洞和本地利用漏洞有些類似,不同的是Web客戶端使用 Server端腳本生成頁面為用戶提供數據時,如果未經驗證的用戶數據被包含在頁面中而未 經HTML實體編碼,客戶端代碼便能夠注入到動態頁面中。其攻擊過程如下A經常瀏覽某個網站,此網站為B所擁有。B的站點運行A使用用戶名/密碼進行 登錄,並存儲敏感信息(比如銀行帳戶信息)。C發現B的站點包含反射性的XSS漏洞。C編寫一個利用漏洞的URL,並將其冒充為來自B的郵件發送給A。A在登錄到B的站點後,瀏覽C提供的URL。嵌入到URL中的惡意腳本在A的瀏覽器中執行,就像它直接來自B的伺服器一樣。 此腳本盜竊敏感信息(授權、信用卡、帳號信息等)然後在A完全不知情的情況下將這些信 息發送到C的Web站點。三、存儲式漏洞,該類型是應用最為廣泛而且有可能影響到Web伺服器自身安全 的漏洞,駭客將攻擊腳本上傳到Web伺服器上,使得所有訪問該頁面的用戶都面臨信息洩 漏的可能,其中也包括了 Web伺服器的管理員。其攻擊過程如下B擁有一個Web站點,該站點允許用戶發布信息/瀏覽已發布的信息。C注意到B的站點具有存儲式的XXS漏洞。
4
C發布一個熱點信息,吸引其它用戶紛紛閱讀。B或者是任何的其他人如A瀏覽該信息,其會話cookies或者其它信息將被C盜走。類型A直接威脅用戶個體,而類型B和存儲式漏洞所威脅的對象都是企業級Web應用。當前大多數的XSS檢測只在HTTP協議層面上實現,無法在資料庫底層進行XSS檢 測。
發明內容
本發明要解決的技術問題是提供一種檢測資料庫是否遭到跨站腳本攻擊的方法 及裝置,能夠檢測出資料庫所遭受的XSS攻擊。為了解決上述問題,本發明提供了一種檢測資料庫是否遭到跨站腳本攻擊的方 法,包括捕獲提交到資料庫伺服器的數據包,從中提取出SQL語句;如果提取出的SQL語句為包含修改資料庫欄位內容的語句,則判斷所述包含修改 資料庫欄位內容的語句中是否含有跨站腳本攻擊行為,如果有則判定資料庫被跨站腳本攻
擊ο進一步地,所述捕獲提交到資料庫伺服器的數據包,從中提取出SQL語句的步驟 具體包括al、捕獲所有提交到資料庫伺服器的以太包;a2、依次進行以太層,IP層,TCP層或UDP層解析,得到應用層協議信息,進行應用 層解析得到SQL語句;a3、自動識別或根據設置確定SQL語句所採用的編碼方式,對SQL語句進行解碼。進一步地,所述修改資料庫欄位內容的語句包括update 語句禾口 insert 語句;提取出的SQL語句為包含修改資料庫欄位內容的語句是指從提取出的SQL語句 中過濾出update禾口 /或insert語句。進一步地,判斷所述包含修改資料庫欄位內容的語句中是否含有跨站腳本攻擊行 為是指判斷所述包含修改資料庫欄位內容的語句中是否含有與跨站腳本攻擊行為對應 的標識,當所述包含修改資料庫欄位內容的語句中包含有與跨站腳本攻擊行為對應的標識 時,判定該語句中包含跨站腳本攻擊行為;或是指當在所述包含修改資料庫欄位內容的語句中檢查到與跨站腳本攻擊行為對應的 標識時,根據該標識所對應的值,對該語句進行累加賦值,直到檢查完整個語句;當該語句 累加賦值的結果大於或等於預設的閾值時,判定該語句包含跨站腳本攻擊行為。進一步地,所述的方法還包括設置檢測策略;所述檢測策略用於指定需要檢測的數據包;捕獲提交到資料庫伺服器的數據包後,如果該數據包與所述檢測策略匹配,則從該數據包中提取SQL語句,否則丟棄該數據包。在判斷所述包含修改資料庫欄位內容的語句中是否含有跨站腳本攻擊行為的步 驟後還包括採用郵件或簡訊方式將判斷結果實時通知資料庫管理員。本發明還提供了一種檢測資料庫是否遭到跨站腳本攻擊的裝置,包括提取單元,用於捕獲提交到資料庫伺服器的數據包,並從中提取出SQL語句;篩選單元,用於從提取出的SQL語句中篩選出包含修改資料庫欄位內容的語句;判斷單元,用於判斷所篩選出的包含修改資料庫欄位內容的語句中是否含有跨站 腳本攻擊行為,如果有則判定資料庫被跨站腳本攻擊。進一步地,所述提取單元具體包括捕獲模塊,用於捕獲所有提交到資料庫伺服器的以太包;解析模塊,用於依次進行以太層,IP層,TCP層或UDP層解析,得到應用層協議信 息,進行應用層解析得到SQL語句;解碼模塊,用於自動識別或根據設置確定SQL語句所採用的編碼方式,對SQL語句 進行解碼。進一步地,所述篩選單元所篩選出的修改資料庫欄位內容的語句包括update 語句禾口 insert 語句;所述篩選單元從提取出的SQL語句中篩選出包含修改資料庫欄位內容的語句是 指所述篩選單元從提取出的SQL語句中過濾出update和/或insert語句。進一步地,所述判斷單元判斷包含修改資料庫欄位內容的語句中是否含有跨站腳 本攻擊行為是指所述判斷單元判斷所述包含修改資料庫欄位內容的語句中是否含有與跨站腳本 攻擊行為對應的標識,當所述包含修改資料庫欄位內容的語句中包含有與跨站腳本攻擊行 為對應的標識時,判定該語句中包含跨站腳本攻擊行為;或是指所述判斷單元保存與跨站腳本攻擊行為對應的各標識的值;當在所述包含修改 資料庫欄位內容的語句中檢查到與跨站腳本攻擊行為對應的標識時,根據該標識所對應的 值,對該語句進行累加賦值,直到檢查完整個語句;當該語句累加賦值的結果大於或等於預 設的閾值時,判定該語句包含跨站腳本攻擊行為。進一步地,所述的裝置還包括設置單元,用於設置和保存檢測策略,所述檢測策略用於指定需要檢測的數據 包;通知單元,用於採用郵件或簡訊方式將所述判斷單元得到的判斷結果實時通知數
據庫管理員;所述提取單元捕獲提交到資料庫伺服器的數據包後,如果該數據包與所述檢測策 略匹配,則從該數據包中提取SQL語句,否則丟棄該數據包。本發明的技術方案服了當前大多數的XSS檢測只在HTTP協議層面上實現的缺陷, 在資料庫底層實現了對XSS攻擊的檢測,保護了資料庫的安全,對存儲式XSS檢測提供了最
6優的實現。
圖1為實施例一中檢測資料庫是否遭到XSS攻擊的方法的例子裡的系統架構示意 圖;圖2為實施例一中檢測資料庫是否遭到XSS攻擊的方法的例子的流程示意圖;圖3為實施例二中檢測資料庫是否遭到XSS攻擊的裝置的示意框圖。
具體實施例方式下面將結合附圖及實施例對本發明的技術方案進行更詳細的說明。實施例一,一種檢測資料庫是否遭到XSS攻擊的方法,包括A、捕獲提交到資料庫伺服器的數據包,即SQL命令或操作數據;從中提取出SQL語 句;B、如果提取出的SQL語句為包含修改資料庫欄位內容的語句,則進行步驟C ;C、判斷所述包含修改資料庫欄位內容的語句中是否含有XSS攻擊行為,如果有則 判定資料庫被XSS攻擊。本實施例可採用旁路設備檢測資料庫是否遭到XSS攻擊。對不同數據包可以並行 進行上述步驟。本實施例可應用於檢測各種常見的資料庫,如oracle,SQL server, Informix, DB2, mysql, postgresql 等。本實施例中,在判斷所述包含修改資料庫欄位內容的語句中是否含有XSS攻擊行 為的步驟後,還可以包括步驟將判斷結果實時通知資料庫管理員,可以採用郵件,簡訊等有效快捷的方式進行 通知。本實施例中,所述步驟A中所捕獲的SQL命令或操作數據是由webserver (網站服 務器)或其他數據應用系統提交到資料庫的。本實施例中,所述步驟A具體包括al、在一定的流量限制的條件下,可以捕獲所有的webserver或其他資料庫應用 系統提交到資料庫伺服器的以太包,包括TCP包和UDP包,包括所有的周知埠和重定向的 埠上的以太包;a2、進行以太層,IP層,TCP層或UDP層解析,得到相關的應用層協議信息,並進行 應用層解析得到SQL語句;a3、識別SQL語句是採用了哪種編碼方式,包括Unicode,utf8,utfl6,GB2312等 字符編碼方式,對SQL語句進行解碼;編碼方式程序可以自動識別,也可以手工設置;本實施例中,所述修改資料庫欄位內容的語句包括=Update語句和insert語句 等;實際應用時,根據資料庫的不同,也可能為其它語句。本實施例中,所述步驟B中包括分析解碼後的SQL語句,如果從中過濾出update 和/或insert語句則進行步驟C。通常,XSS攻擊都有對應的標識(比如關鍵詞、符號等);本實施例一種實施方式
7中,步驟C裡可以根據所述包含修改資料庫欄位內容的語句中是否含有與XSS攻擊行為對 應的標識來進行判斷,當所述包含修改資料庫欄位內容的語句中包含有與XSS攻擊行為對 應的標識時,判定該語句中包含XSS攻擊行為。在本實施例的另一種實施方式中,可以對與XSS攻擊行為對應的各標識按照可能 性程度賦值;每當在所述包含修改資料庫欄位內容的語句中檢查到與XSS攻擊行為對應的 標識時,根據該標識所對應的值,對該語句進行累加賦值,直到檢查完整個語句;設定一閾 值,當該語句累加賦值的結果大於或等於該閾值時,判定該語句包含XSS攻擊行為。實際應用時,還可以採用其它方式來判斷語句是否包含XSS攻擊行為,比如可以 提取出SQL語句中各欄位的值時,可以在各欄位中分別尋找與XSS攻擊行為對應的標識,如 果能找到該標識,或能找到一定數量的該標識、又或者是在一定數量的欄位中能找到該標 識,則判定該語句包含XSS攻擊行為。本實施例中,所述方法還可以包括設置檢測策略;所述檢測策略用於指定需要檢測的數據包,包括以下項目中的任 一個或其任意組合數據伺服器的IP位址、訪問資料庫伺服器的Web伺服器的IP位址、資料庫伺服器 的類型、埠號以及通信的編碼方式;步驟A中,捕獲提交到資料庫伺服器的數據包後,如果該數據包與所述檢測策略 匹配,則從該數據包中提取SQL語句,否則丟棄該數據包。如果在步驟B中可以提取出SQL語句中各欄位的值,則所述檢測策略還可以進一 步指定需要進行檢測的某張表的某個欄位或某些欄位。所述步驟C中判斷所述包含修改資料庫欄位內容的語句中是否含有XSS攻擊行為 時,可以根據所述檢測策略,只檢測其中指定的某個或某些欄位中是否含有XSS攻擊行為。該設置檢測策略的步驟只需要在第一次執行步驟C前執行一次,之後可以不執 行,也可以在更新檢測策略時與步驟A、B、C並行執行,或是暫停步驟A、B、C來進行更新;而 步驟A、B、C可以循環反覆執行,並且可以同時對不同數據包進行不同步驟,比如對一個數 據包進行步驟C的同時,可以在對另一數據包進行步驟B。下面一個具體的例子進一步加以說明。該例中,採用旁路部署方式進行檢測,此時的系統架構如圖1所示;一次檢測的過 程如圖2所示,包括以下步驟首先在旁路設備Audit上設置XSS的檢測策略,如需要保護數據伺服器的IP地 址,訪問資料庫伺服器的Web伺服器的IP位址,資料庫伺服器的類型,埠號以及通信的編 碼方式(如果需要的話)等;當web伺服器或其他資料庫應用系統訪問所檢測的資料庫伺服器上的資料庫 DataBase時,將捕獲到相關的數據包,對捕獲到的數據包相應進行以太層、IP層、TCP層或 UDP層解析,得到相關的應用層協議信息;如果所述數據包與所述檢測策略相匹配,則進行應用層解析得到經過編碼的SQL 語句;通過自動或手工配置的方式解析SQL語句的編碼方式,解碼得到相應的SQL語句。從解碼後的SQL語句中過濾出update和/或insert語句。
8
對過濾出的語句進行XSS攻擊檢測,即判斷過濾出的語句中是否含有XSS攻擊行 為;得到檢測結果。將所述檢測結果上報到系統自身的系統中,並通過email和簡訊的方式發送到數 據庫或web伺服器管理員。實施例二,一種檢測資料庫是否遭到跨站腳本攻擊的裝置,如圖3所示,包括提取單元,用於捕獲提交到資料庫伺服器的數據包,並從中提取出SQL語句;篩選單元,用於從提取出的SQL語句中篩選出包含修改資料庫欄位內容的語句;判斷單元,用於判斷所篩選出的包含修改資料庫欄位內容的語句中是否含有跨站 腳本攻擊行為,得到一判斷結果;如果所述語句中是否含有跨站腳本攻擊行為則判定數據 庫被跨站腳本攻擊。本實施例中,所述提取單元具體包括捕獲模塊,用於捕獲所有提交到資料庫伺服器的以太包;解析模塊,用於依次進行以太層,IP層,TCP層或UDP層解析,得到應用層協議信 息,進行應用層解析得到SQL語句;解碼模塊,用於自動識別或根據設置確定SQL語句所採用的編碼方式,對SQL語句 進行解碼。本實施例中,所述篩選單元所篩選出的修改資料庫欄位內容的語句包括update 語句禾口 insert 語句;所述篩選單元從提取出的SQL語句中篩選出包含修改資料庫欄位內容的語句是 指所述篩選單元從提取出的SQL語句中過濾出update和/或insert語句。本實施例的一種實施方式中,所述判斷單元判斷包含修改資料庫欄位內容的語句 中是否含有跨站腳本攻擊行為是指所述判斷單元判斷所述包含修改資料庫欄位內容的語句中是否含有與跨站腳本 攻擊行為對應的標識,當所述包含修改資料庫欄位內容的語句中包含有與跨站腳本攻擊行 為對應的標識時,判定該語句中包含跨站腳本攻擊行為;本實施例的另一種實施方式中,所述判斷單元判斷包含修改資料庫欄位內容的語 句中是否含有跨站腳本攻擊行為是指所述判斷單元保存與跨站腳本攻擊行為對應的各標識的值;當在所述包含修改 資料庫欄位內容的語句中檢查到與跨站腳本攻擊行為對應的標識時,根據該標識所對應的 值,對該語句進行累加賦值,直到檢查完整個語句;當該語句累加賦值的結果大於或等於預 設的閾值時,判定該語句包含跨站腳本攻擊行為。本實施例中,所述裝置還可以包括設置單元,用於設置和保存檢測策略,所述檢測策略用於指定需要檢測的數據 包;所述提取單元捕獲提交到資料庫伺服器的數據包後,如果該數據包與所述檢測策 略匹配,則從該數據包中提取SQL語句,否則丟棄該數據包。本實施例中,所述裝置還可以包括通知單元,用於採用郵件或簡訊方式將所述判斷單元得到的判斷結果實時通知資料庫管理員。其它實現細節可以與實施例一相同。當然,本發明還可有其他多種實施例,在不背離本發明精神及其實質的情況下,熟 悉本領域的技術人員當可根據本發明作出各種相應的改變和變形,但這些相應的改變和變 形都應屬於本發明的權利要求的保護範圍。
權利要求
一種檢測資料庫是否遭到跨站腳本攻擊的方法,包括捕獲提交到資料庫伺服器的數據包,從中提取出SQL語句;如果提取出的SQL語句為包含修改資料庫欄位內容的語句,則判斷所述包含修改資料庫欄位內容的語句中是否含有跨站腳本攻擊行為,如果有則判定資料庫被跨站腳本攻擊。
2.如權利要求1所述的方法,其特徵在於,所述捕獲提交到資料庫伺服器的數據包,從 中提取出SQL語句的步驟具體包括al、捕獲所有提交到資料庫伺服器的以太包;a2、依次進行以太層,IP層,TCP層或UDP層解析,得到應用層協議信息,進行應用層解 析得到SQL語句;a3、自動識別或根據設置確定SQL語句所採用的編碼方式,對SQL語句進行解碼。
3.如權利要求1所述的方法,其特徵在於,所述修改資料庫欄位內容的語句包括 update語句禾口 insert語句;提取出的SQL語句為包含修改資料庫欄位內容的語句是指從提取出的SQL語句中過 濾出update禾口 /或insert語句。
4.如權利要求1所述的方法,其特徵在於,判斷所述包含修改資料庫欄位內容的語句 中是否含有跨站腳本攻擊行為是指判斷所述包含修改資料庫欄位內容的語句中是否含有與跨站腳本攻擊行為對應的標 識,當所述包含修改資料庫欄位內容的語句中包含有與跨站腳本攻擊行為對應的標識時, 判定該語句中包含跨站腳本攻擊行為; 或是指當在所述包含修改資料庫欄位內容的語句中檢查到與跨站腳本攻擊行為對應的標識 時,根據該標識所對應的值,對該語句進行累加賦值,直到檢查完整個語句;當該語句累加 賦值的結果大於或等於預設的閾值時,判定該語句包含跨站腳本攻擊行為。
5.如權利要求1所述的方法,其特徵在於,還包括 設置檢測策略;所述檢測策略用於指定需要檢測的數據包;捕獲提交到資料庫伺服器的數據包後,如果該數據包與所述檢測策略匹配,則從該數 據包中提取SQL語句,否則丟棄該數據包。在判斷所述包含修改資料庫欄位內容的語句中是否含有跨站腳本攻擊行為的步驟後 還包括採用郵件或簡訊方式將判斷結果實時通知資料庫管理員。
6.一種檢測資料庫是否遭到跨站腳本攻擊的裝置,其特徵在於,包括 提取單元,用於捕獲提交到資料庫伺服器的數據包,並從中提取出SQL語句; 篩選單元,用於從提取出的SQL語句中篩選出包含修改資料庫欄位內容的語句;判斷單元,用於判斷所篩選出的包含修改資料庫欄位內容的語句中是否含有跨站腳本 攻擊行為,如果有則判定資料庫被跨站腳本攻擊。
7.如權利要求6所述的裝置,其特徵在於,所述提取單元具體包括 捕獲模塊,用於捕獲所有提交到資料庫伺服器的以太包;解析模塊,用於依次進行以太層,IP層,TCP層或UDP層解析,得到應用層協議信息,進 行應用層解析得到SQL語句;解碼模塊,用於自動識別或根據設置確定SQL語句所採用的編碼方式,對SQL語句進行解碼。
8.如權利要求6所述的裝置,其特徵在於,所述篩選單元所篩選出的修改資料庫欄位 內容的語句包括update語句禾口 insert語句;所述篩選單元從提取出的SQL語句中篩選出包含修改資料庫欄位內容的語句是指 所述篩選單元從提取出的SQL語句中過濾出update和/或insert語句。
9.如權利要求6所述的裝置,其特徵在於,所述判斷單元判斷包含修改資料庫欄位內 容的語句中是否含有跨站腳本攻擊行為是指所述判斷單元判斷所述包含修改資料庫欄位內容的語句中是否含有與跨站腳本攻擊 行為對應的標識,當所述包含修改資料庫欄位內容的語句中包含有與跨站腳本攻擊行為對 應的標識時,判定該語句中包含跨站腳本攻擊行為; 或是指所述判斷單元保存與跨站腳本攻擊行為對應的各標識的值;當在所述包含修改資料庫 欄位內容的語句中檢查到與跨站腳本攻擊行為對應的標識時,根據該標識所對應的值,對 該語句進行累加賦值,直到檢查完整個語句;當該語句累加賦值的結果大於或等於預設的 閾值時,判定該語句包含跨站腳本攻擊行為。
10.如權利要求6所述的裝置,其特徵在於,還包括設置單元,用於設置和保存檢測策略,所述檢測策略用於指定需要檢測的數據包; 通知單元,用於採用郵件或簡訊方式將所述判斷單元得到的判斷結果實時通知資料庫管理員;所述提取單元捕獲提交到資料庫伺服器的數據包後,如果該數據包與所述檢測策略匹 配,則從該數據包中提取SQL語句,否則丟棄該數據包。
全文摘要
一種檢測資料庫是否遭到跨站腳本攻擊的方法及裝置;方法包括捕獲提交到資料庫伺服器的數據包,從中提取出SQL語句;如果提取出的SQL語句為包含修改資料庫欄位內容的語句,則判斷所述包含修改資料庫欄位內容的語句中是否含有跨站腳本攻擊行為,如果有則判定資料庫被跨站腳本攻擊。本發明能夠檢測出資料庫所遭受的XSS攻擊。
文檔編號G06F17/30GK101901307SQ200910085040
公開日2010年12月1日 申請日期2009年5月27日 優先權日2009年5月27日
發明者劉暉, 葉潤國, 姚熙, 邱少紅, 陳永濤 申請人:北京啟明星辰信息技術股份有限公司;北京啟明星辰信息安全技術有限公司