1. 现象描述
如果同一源IP地址短时间内产生大量的Acunetix Web Vulnerability Scanner事件和SQL注入事件等,则表明源IP地址可能存在安全扫描和SQL注入攻击尝试行为,并可能试探和获取后台使用操作系统和服务器的敏感信息。
如果源IP地址对网络进行安全扫描的行为是授权的,可以判定该事件不存在安全威胁,除扫描外网管工具也可产生类似效果;否则存在安全威胁。
2. 攻击成因
采用形式
手动扫描,第三方扫描工具和SQL注入脚本等;
攻击办法
攻击者利用手工或扫描工具试探出后台使用操作系统和服务器信息,如扫描工具:Acunetix Web Vulnerability Scanner 8。
攻击者利用SQL注入语句或访问不存在页面等试探方式,得到Web站点所在服务器操作系统信息、服务器信息和数据库配置等敏感信息。
3. 解决办法
检查目标Web服务器包含的所有相关服务器信息,包括Web应用服务器,数据库服务器和反向代理服务器。通过对这些关键服务器配置安全等级进行调整和配置进行修改,禁止相关敏感信息外泄。
部署专业Web应用安全设备对外部请求产生的的返回结果中的系统敏感信息进行检测和触发对应安全策略 |
