对抗SQL注入攻击

国内网站被挂马的常见原因是SQL注入攻击。

那么，除了在Web开发的时候注意以外，有什么有效的工具可以对抗SQL注入攻击？

2008年6月，微软和惠普的安全部门合作发布了三个工具，分别是：

微软SQL注入攻击源码扫描器：Microsoft Source Code Analyzer for SQL Injection (MSCASI)。
这个工具给网站开发人员使用。是一个静态扫描ASP代码的工具，可以查找发现第一类和第二类的SQL注入攻击漏洞。 工具官方下载地址：http://support.microsoft.com/kb/954476
本地下载地址：
http://cert.sjtu.edu.cn/download/sjtu/sql/msscasi_asp_pkg.exe

惠普的 Scrawlr工具。这个工具可以被网站的维护人员使用，是一个黑箱扫描工具，不需要源代码。指定起始URL开始扫描。确定是不能准确定位代码的漏洞（因为是黑箱测试）。
官方工具下载地址：http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx
本地下载地址：
http://cert.sjtu.edu.cn/download/sjtu/sql/Scrawlr.msi

微软的URLScan 3.0 Beta。这个工具可以被网站的维护人员使用。它是一个输入过滤工具。如果你发现网站被SQL注入工具，你可以在一边修补代码漏洞的同时，使用这个攻击在过滤掉恶意的输入。当然，修补代码中的漏洞是完全避免SQL注入攻击的真正解决方案。
官方工具下载地址：http://blogs.iis.net/wadeh/archive/2008/06/05/urlscan-v3-0-beta-release.aspx
本地下载地址：
http://cert.sjtu.edu.cn/download/sjtu/sql/urlscan_v3_beta_x86.msi

SWI的博客上有更进一步的描述。http://blogs.technet.com/swi/archive/2008/06/24/new-tools-to-block-and-eradicate-sql-injection.aspx

那么，这三个工具是如何配合使用的？下面给出一个例子。

步骤一：网站的维护人员使用Scrawlr扫描网站，检查是否存在SQL注入漏洞

步骤二：发现存在漏洞后，通知开发人员。开发人员使用MSCASI对ASP源码静态扫描来确定代码中什么地方导致的SQL注入攻击漏洞。

步骤三：在开发人员修补漏洞的同时，维护人员可以使用URLScan来过滤可能的恶意输入，以确保网站的安全。

这三个工具的配合使用可以很大程度上减少网站被挂马的可能。说实话，现在被挂马的网站实在是太多了！

from：褚诚云blog

 

今天，我也试了一下urlscan.ini文件， 加强了一下web，感觉这个东西还不错。遇到的问题是：

1. 发现某些中文的文件名图片不能够显示， 解决方法是把urlscan.ini文件中的 [Options] 节的AllowHighBitCharacters项,将值由0改为1,这样就可以显示中文的文件名称了！

 

 

另外参考

urlscan配置文件必须遵从以下规则：
（1）此文件名必须为urlscan.ini；
（2）配置文件必须和urlscan.dll在同一目录；
（3）配置文件必须是标准ini文件结构，也就是由节，串和值组成；
（4）配置文件修改以后，必须重新启动IIS，使配置生效；
（5）配置文件由以下各节组成：
[Option]节，主要设置节；
[AllowVerbs]节，配置认定为合法URL规则设定，此设定与Option节有关；
[DenyVerbs] 节，配置认定为非法URL规则设定，此设定与Option节有关；
[DenyHeaders]节，配置认定为非法的header在设立设置；
[AllowExtensions]节，配置认定为合法的文件扩展名在这里设置，此设定与Option节有关；
[DenyExtensions]节，配置认定为非法的文件扩展名在这里设置，此设定与Option节有关；
2)具体配置
（1）我们首先来看Option节的配置，因为Option节的设置直接影响到以后的配置，因此，这一节的设置特别重要。此节主要进行以下属性的设置：
UseAllowVerbs：使用允许模式检查URL请求，如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝；如果设置为0，所有没有在[DenyVerbs]设置的URL请求都认为合法；默认为1;
UseAllowExtensions：使用允许模式检测文件扩展名；如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求；如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求；默认为0;
EnableLogging：是否允许使用Log文件，如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤；
AllowLateScanning：允许其他URL过滤在URLScan过滤之前进行，系统默认为不允许0;
AlternateServerName：使用服务名代替；如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”；
NormalizeUrlBeforeScan：在检测URL之前规格化URL；如果为1，URLScan将在IIS编码URL之前URL进行检测；需要提醒的是，只有管理员对URL解析非常熟悉的情况下才可以将其设置为0；默认为1；
VerifyNormalization：如果设置为1，UrlScan将校验URL规则，默认为1；此节设定与NormalizeUrlBeforeScan有关；
AllowHighBitCharacters：如果设置为1,将允许URL中存在所有字节，如果为0，含有非ASCII字符的URL将拒绝；默认为1；
AllowDotInPath：如果设置为1，将拒绝所有含有多个“.”的URL请求，由于URL检测在IIS解析URL之前，所以，对这一检测的准确性不能保证，默认为0；
RemoveServerHeader：如果设置为1，将把所有应答的服务头清除，默认为0;
（2）[AllowVerbs]节配置
如果UseAllowVerbs设置为1,此节设置的所有请求将被允许，一般设置以下请求：
GET、HEAD、POST
（3）[DenyVerbs]节配置
如果UseAllowVerbs设置为0，此节设置的所有请求将拒绝，一般设置以下请求：
PROPFIND、PROPPATCH、MKCOL、Delete、PUT、COPY、MOVE、LOCK、UNLOCK
（4）[AllowExtensions]节设置
在这一节设置的所有扩展名文件将被允许请求，一般设置以下请求：
.asp、.htm、.html、.txt、.jpg、.jpeg、.gif，如果需要提供文件下载服务，需要增加.rar、.zip，
（5）[DenyExtensions]节设置
在这一节设置的所有扩展名文件请求将被拒绝，根据已经发现的漏洞，我们可以在这一节增加内容，一般为以下设置：
.asa、可执行文件、批处理文件、日志文件、罕见扩展如：shtml、.printer等。