梭子魚WEB應用防火墻數據防泄露實戰案例系列(一)
在如今這個Web 攻擊已經實現自動化的時代,管理員對網站的安全保護不能有絲毫松懈 。2011年4月9日,置于“被動模式”(只監控對網站的訪問)的梭子魚Web應用防火墻詳細記錄了黑客侵入一家公司市場部數據庫的全過程。分析顯示,該次攻擊最有可能是那些犯罪意圖不明顯的灰帽子黑客所為。本文將具體探討數據泄露是如何發生的,我們獲得了哪些啟示,以及梭子魚Web應用防火墻會如何阻止正在進行的應用層攻擊并有效防止進一步破壞。
Web 應用的設計保證了數據能夠透明地穿過網絡防火墻,因此傳統的四層網絡防火墻無法檢測并阻止七層(應用層)的攻擊;然而,許多組織都還沒有充分意識到四層安全措施已經不能滿足當前的需求,從而使得這些組織極易受到針對各種應用的攻擊。
不管動機如何,針對 Web 應用的攻擊,尤其是 SQL 注入攻擊,都被證明是滲透網絡并竊取數據的最有效途徑:
·Web 應用攻擊僅占全部數據泄露事件的 54%,但被竊取的數據占92%
·SQL 注入攻擊僅占 Web 應用攻擊的25%,但是被竊取的數據占89%
數據泄露事件說明
此次數據泄露事件的主要原因有以下幾點:
1.網站的PHP 代碼存在錯誤
2.原本應定期進行的代碼漏洞掃描被忽略,導致沒有及時發現PHP代碼問題
3.網站維護人員沒有開啟梭子魚Web應用防火墻的安全防護功能
對有漏洞的代碼未加以保護,受到攻擊只是個時間問題。根據梭子魚Web應用防火墻的記錄和報告,攻擊是這樣發生的:
數據泄露事件具體過程
通過梭子魚Web應用防火墻的日志,我們確認非法用戶使用了兩個客戶端對網站進行探測和攻擊:
使用梭子魚Web應用防火墻報告的信息,我們能夠迅速在Web服務器日志上過濾并查找到相應的記錄條目。
2011-04-10 03:19:17 GET /ns/customers/customer_verticals.php v=12”%20and%20ascii(substring((database()),13,1))=99%20and%20”x”=”x 80 - 87.1
2011-04-10 03:19:17 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:18 GET /ns/customers/customer_verticals.php v=12”%20and%20ascii(substring((database()),13,1))=98%20and%20”x”=”x 80 - 87.1
2011-04-10 03:19:18 GET /ns/customers/customer_verticals.php v=12”%20and%20ascii(substring((database()),13,1))=97%20and%20”x”=”x 80 - 87.1
2011-04-10 03:19:19 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:21 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:24 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:26 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:28 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:31 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:32 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:33 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:37 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:39 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:41 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:46 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:48 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:48 GET /ns/customers/customer_verticals.php v=12”%20and%20Length((SELECT%20distinct%20schema_name%20from%20info
2011-04-10 03:19:49 GET /ns/customers/customer_verticals.php v=12”%20and%20Length((SELECT%20distinct%20schema_name%20from%20info
2011-04-10 03:19:51 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:51 GET /ns/customers/customer_verticals.php v=12”%20and%20Length((SELECT%20distinct%20schema_name%20from%20info
2011-04-10 03:19:52 GET /ns/customers/customer_verticals.php v=12”%20and%20Length((SELECT%20distinct%20schema_name%20from%20info
2011-04-10 03:19:53 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:53 GET /ns/customers/customer_verticals.php v=12”%20and%20Length((SELECT%20distinct%20schema_name%20from%20info
2011-04-10 03:19:54 GET /ns/customers/customer_verticals.php v=12”%20and%20Length((SELECT%20distinct%20schema_name%20from%20info
2011-04-10 03:19:54 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:54 GET /ns/customers/customer_verticals.php v=12”%20and%20Length((SELECT%20distinct%20schema_name%20from%20info
2011-04-10 03:19:55 GET /ns/customers/customer_verticals.php v=12”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:57 GET /ns/customers/customer_verticals.php v=12”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:57 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:19:57 GET /ns/customers/customer_verticals.php v=12”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
注:Web 日志使用的是格林威治標準時間(GMT),而 Web 應用防火墻使用的是太平洋夏令時(PDT)
通過仔細查看梭子魚Web 應用防火墻的每個日志條目,我們找到了攻擊者及其所用工具的線索:
#p#
發現漏洞
第一次攻擊的開始時間為4月9日下午5:07,攻擊者的IP地址為 115.134.249.15,來自馬來西亞的吉隆坡,該日志條目證實了認為攻擊來自馬來西亞的在線報告。我們還注意到,攻擊者用以探測 Web 網站SQL 注入缺陷的是White hats設計的滲透工具的一個修改版;相關的日志條目報告顯示,負責此次攻擊的黑客團隊頻繁進入White hat在線社區。我們在Web 服務器日志上也發現了相似的條目。這些日志條目還讓我們跟蹤到攻擊者嘗試了哪些攻擊以及在我們的后臺系統上成功進行了哪些攻擊。
ex11041000.log:2011-04-10 00:17:18 GET /ns/customers/customer_verticals.php v=11 80 - 115.134.249.155 Mozilla/4.0+(compatible;+MSIE+7.0;+W
ex11041000.log:2011-04-10 00:17:20 GET /ns/customers/customer_verticals.php v=-9.9 80 - 115.134.249.155 Mozilla/4.0+(compatible;+MSIE+7.0;+
ex11041000.log:2011-04-10 00:17:22 GET /ns/customers/customer_verticals.php v=11%20and%201=1 80 - 115.134.249.155 Mozilla/4.0+(compatibl
ex11041000.log:2011-04-10 00:17:24 GET /ns/customers/customer_verticals.php v=11%20and%201=0 80 - 115.134.249.155 Mozilla/4.0+(compatibl
ex11041000.log:2011-04-10 00:17:25 GET /ns/customers/customer_verticals.php v=11’%20and%20’x’=’x 80 - 115.134.249.155 Mozilla/4.0+(compati
注:Web 日志使用的是格林威治標準時間(GMT),而 Web 應用防火墻使用的是太平洋夏令時(PDT)
我們現在知道,第一個攻擊者使用自動工具逐步遍歷網站,并對每個允許輸入的參數項注入一系列 SQL 命令,查找可能的漏洞。SQL 注入工具于下午 5:16 找到了第一個漏洞,但沒有繼續深入該網頁;下午 8:10,IP地址為 87.106.220.57 的第二個客戶端加入了攻擊行列。經追蹤發現,第二個IP地址的服務器在德國,但尚不清楚該服務器是一個代理,還是第二個攻擊者。梭子魚WAF同樣記錄下了來自第二個IP地址的活動。
以下是相應的 Web 服務器日志:
2011-04-10 03:14:11 GET /ns/customers/customer_verticals.php v=12”%20UNION%20ALL%20SELECT%20null,null,null,null,null,null,null,null,null,null,
2011-04-10 03:14:11 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:14:12 GET /ns/customers/customer_verticals.php v=12”%20and(select%201%20from(select%20count(*),concat((select%20(select%2
2011-04-10 03:14:12 GET /ns/customers/customer_verticals.php v=12”%20and(select%201%20from(select%20count(*),concat((select%20(select%2
2011-04-10 03:14:14 GET /ns/customers/customer_verticals.php v=11”%20and%20ascii(substring((SELECT%20distinct%20schema_name%20from%
2011-04-10 03:14:14 GET /ns/customers/customer_verticals.php v=12”%20and%20Length((database()))<32%20and%20”x”=”x 80 - 87.106.220.57 M
2011-04-10 03:14:15 GET /ns/customers/customer_verticals.php v=12”%20and%20Length((database()))<16%20and%20”x”=”x 80 - 87.106.220.57 M
注:Web 日志使用的是格林威治標準時間(GMT),而 Web 應用防火墻使用的是太平洋夏令時(PDT)
從梭子魚Web應用防火墻的日志發現,攻擊者似乎利用了第二個客戶端對已發現的漏洞進行了手動攻擊,而主要攻擊仍然集中在繼續對Web 站點進行掃描,以獲取其它漏洞。最終,攻擊者們集中力量攻擊非主頁的一個WEB 頁面上的一行弱代碼,其輸入參數并未進行控制審查。以下是那段代碼:
<?=Foo_Function( $_GET[‘parameter’] )?> //獲得用戶輸入
因未對輸入值進行限定,該代碼錯誤讓攻擊者們得以向 HTML的輸入參數進行注入 SQL 命令來攻擊后臺數據庫。
網站開發者們被告知絕對不要信任用戶的輸入;所有的用戶輸入在發送到后臺服務器之前必須進行審查。然而,通過上述案例,你可以發現僅僅用眼睛很難發現所有的代碼錯誤。這就是為什么除了必要的防范性代碼設計以外,梭子魚公司還使用漏洞掃描工具和Web應用防火墻設備來為可能的缺陷提供保護。由于自動式掃描攻擊的存在,在一個含有成千上萬條代碼的 Web 站點中,只要有一個簡單的錯誤就能讓攻擊得逞。我們添加了一條代碼,對受影響的頁面上的輸入進行限定審查,以保護未來的可能攻擊。
$parameter = @is_sanitized($_GET[‘parameter’]) ? $_GET[‘ parameter ‘] : 0;
<?=Foo_Function( $parameter)?>
從漏洞到數據泄露
攻擊者們發現了存在漏洞的頁面后,就企圖竊取數據庫用戶賬號。在接下來的 10個小時里,攻擊者們嘗試了數種方法來強行闖入后臺數據庫,但是每次都以失敗告終。上午3:06,攻擊者們改變了策略,集中攻擊后臺數據庫Schema。事實證明,這是個有效的決定。到 3:19am,攻擊者們已經竊取了第一批電子郵箱賬號。
網站管理員在10:30am 發現網站被攻擊,并于10:39am將梭子魚Web應用防火墻切換到ACTIVE模式開啟保護,阻止了來自 IP 地址為 115.134.249.15 的所有后續攻擊。接下來的數小時里,攻擊者們繼續對剩下的 Web 頁面進行定時攻擊,從梭子魚Web應用防火墻設備將所有這些攻擊拒之門外。從攻擊文件證實了我們的結論,即:攻擊者們使用了一種自動掃描滲透工具,大范圍地注入 SQL 命令。最終,攻擊者們從兩個攻擊IP地址總共對 175 個URL 發送了 110,892 個 SQL 注入式命令,其頻率為每分鐘 42次。
我們在追蹤梭子魚Web應用防火墻上的防火墻日志和訪問日志時,確定攻擊者們竊取了市場部數據庫中的兩套記錄,包含 21,861 個用戶名和電子郵件記錄。因為這兩套記錄還存在副本,并且當中有許多用戶已離開原先的公司,所以受影響的用戶數比被竊取記錄的總數要小得多。
任何數據泄露都是嚴重的問題。盡管實施這次攻擊的黑客們似乎并無惡意,但是類似的泄漏數據,可能被用來對受影響的用戶進行釣魚攻擊。
無論是從事前還是事后的角度來分析,這次攻擊更像是一次攻防演練;通過這次事件,我們更確信,梭子魚Web應用防火墻設備能夠為網站提供對包括SQL注入在內的各種攻擊的防護。雖然網頁中包含PHP代碼漏洞,但只要開啟梭子魚Web應用防火墻的防護功能,所有的攻擊都在幾秒鐘內都被阻止。而且,梭子魚Web應用防火墻的日志和報告提供了完整的攻擊記錄以及失竊數據的記錄,從而為分析和研究Web應用安全提供了一個很好的案例。為了保障網站的安全,在編寫高質量的代碼和進行漏洞測試的同時,梭子魚Web應用防火墻設備應該成為防御應用層攻擊的第一道防線。
