发布日期：2008-06-04

综述：

======

2008年5月14日，绿盟科技客户服务中心400热线接到某网站客户的紧急求助电话，网站页面遭到破坏，请求绿盟安全工程师现场应急。该网站遭遇网页篡改，正常网页内容被替换为大量的[/…]或[/title…]，且持续发生“网页被篡改-手工恢复-再次被篡改-再次恢复…”的现象。经过现场工程师分析，这次攻击同绿盟近期处理的多起应急响应事件基本一致，均是由于网站遭受自动化SQL注入攻击的破坏而导致。

分析：

======

经过绿盟科技NSFocus安全小组分析，该轮攻击使用Google搜索引擎定位网页中包含的动态ASP脚本，测试脚本是否存在SQL注入漏洞并确定注入点，最终试图遍历目标网站后台SQL Server数据库的所有文本字段，插入指向恶意内容的链接。攻击的整个过程完全自动化，一旦攻击得逞，这些自动插入的数据将严重破坏后台数据库所存储的数据，动态脚本在处理数据库中的数据时可能出错，各级页面不再具有正常的观感。被攻击站点也可能成为恶意软件的分发点，访问这些网站的网民可能遭受恶意代码的侵袭，用户的系统被植入木马程序从而完全为攻击者控制。

攻击对象主要为运行IIS Web Server的ASP站点，其后台数据库使用微软SQL Server。由于配置错误，网站底层SQL Server使能了最为危险的存储过程之一“xp_cmdshell”，使得攻击者可以在Web服务器端执行操作系统命令。

解决方法：

==========

SQL注入的成因在于互联网网站开发人员在编码阶段未遵循安全代码开发要求，开发出的动态网页Web应用程序对用户提交的请求参数未做充分检查过滤。真正彻底、有效地解决SQL注入攻击，应该从事前预防（如遵循最小权限原则配置数据库服务器；使用Web应用漏洞扫描工具来诊断Web应用程序脆弱性等）、事中缓解（检测、阻断攻击手段）以及事后诊断（对SQL注入攻击造成的攻击结果进行监测）三个方面进行综合考虑。