1.现象描述
如果源IP的主机上正在运行扫描器对网络进行安全扫描,可以判定该事件是由于安全扫描导致的,不存在安全威胁;
如果源IP的主机上运行的扫描器不是授权的安全扫描,那么存在安全威胁; 3.如果网络中不存在授权的扫描或安全评估,那么存在安全威胁。
2.攻击成因
采用形式:
脚本注入式的攻击。SQL注入攻击利用SQL语法,使得这种攻击具有广泛性。
执行方式:
SQL注入攻击者通过HTTP方式输入SQL注入脚本。理论上说,对于所有基于SQL语言标准的数据库软件都是有效的,包括MS Sqlserver,Oracle,DB2,Sybase,Mysql等。
3. 解决办法
事件发现
SQL注入脚本因为各种软件自身特点会产生不同最终攻击代码,因为SQL注入攻击的原理易于掌握和实施,针对性的安全设备和安全策略也会较精确的发现该类事件触发较高级别报警,从而可以发现SQL注入事件的发生。
处理办法
Web应用进行代码安全性检查,确保使用安全代码;
定期查看Wed服务事件日志和数据库安全事件日志;
定期对Web应用对应的数据库系统进行安全补丁升级. |