技术领域
[0001] 本
发明涉及信息安全技术领域,尤其是涉及一种基于数据库协议的SQL注入审计或防护方法及装置。
背景技术
[0002] 所谓SQL(Structured Query Language)注入,较为常见的一种情况是在Web表单中插入SQL语句,SQL注入常被用来攻击
服务器以达到窃取信息或控制系统的目的。
[0003] 关于SQL注入的审计技术,根据审计过程是否需要应用程序的执行,主要存在两类:第一类是静态代码审计,主要是通过扫描函数列表,实现对整个代码的循环遍历分析,以达到发现SQL注入的目的;第二类是动态代码审计,主要是在应用程序动态执行的过程中,通过监控用户输入变量的传递过程是否异常,来达到发现SQL注入的目的。而各种
防火墙中通常构造各种关于SQL注入的正则表达式,然后通过正则表达式来匹配HTTP协议中出现的数据包,如果HTTP数据包与任意一条正则表达式实现了正则匹配,那么就将客户端
访问服务器的连接拦截,已达到防止SQL注入造成的危险。
[0004] 上述SQL注入的审计技术,分别存在下列问题:(1)静态代码审计技术扫描出来的可疑
风险点列表往往很大,需要大量的人工分析,误报率非常高。(2)动态代码审计技术由于用户的输入变量经过各种逻辑处理,往往虽然经过危险函数但最后结果并不异常,因而也会有很多误报。(3)用正则表达式进行正则匹配的方法中,为了保证不对正常的正则业务造成影响,正则表达式构造的会较宽松一些,因而,入侵者也很容易绕过正则表达式的正则匹配,因而也存在较高的误报率。
[0005] 针对上述传统的SQL注入的审计和防护方法中存在的误报率较高的技术问题,
现有技术中缺乏有效的解决办法。
发明内容
[0006] 有鉴于此,本发明的目的在于提供一种基于数据库协议的SQL注入审计或防护方法及装置,以缓解述传统的SQL注入的审计和防护方法中存在的误报率较高的技术问题。
[0007] 第一方面,本发明
实施例提供了一种基于数据库协议的SQL注入审计或防护方法,应用于客户端,包括:
[0008] 获取数据库服务器根据预设数据库协议发送的数据包,其中,所述数据包为响应所述客户端
请求信息的数据包;
[0009] 根据所述预设数据库协议的数据格式对所述数据包进行分析,以确定所述数据库服务器对所述请求信息的响应结果;
[0010] 基于所述响应结果,确定SQL注入导致的对所述数据库服务器进行访问的危险访问
接口,以便对访问所述危险访问接口的访问请求进行阻止。
[0011] 结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述获取数据库服务器根据预设数据库协议发送的数据包,包括:
[0012] 从所述客户端的驱动层获取数据库服务器根据所述预设数据库协议发送的数据包;或者,
[0013] 通过预设
插件获取数据库服务器根据所述预设数据库协议发送的数据包,其中,所述预设插件为预先安装在所述客户端,且被设置于获取所述数据库服务器传送的数据包的插件。
[0014] 结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,根据所述预设数据库协议的数据格式对所述数据包进行分析,包括:
[0015] 根据所述预设数据库协议的数据格式,确定第一字节
位置,其中,所述第一字节位置用于存储所述数据库服务器的响应结果;
[0016] 从所述数据包中提取处于所述第一字节位置的第一目标字节;
[0017] 根据所述第一目标字节的数值,确定所述数据库服务器的响应结果。
[0018] 结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,基于所述响应结果,确定SQL注入导致的对所述数据库服务器进行访问的危险访问接口,包括:
[0019] 在所述响应结果为响应错误的情况下,根据所述预设数据库协议的数据格式,确定第二字节位置,其中,所述第二字节位置用于存储所述响应错误的错误类型,其中,所述错误类型包括正常错误和异常错误;
[0020] 从所述数据包中提取处于所述第二字节位置的第二目标字节;
[0021] 根据所述第二目标字节的数值,确定所述响应错误的错误类型;
[0022] 在所述错误类型为异常错误的情况下,确定所述危险访问接口。
[0023] 结合第一方面的第三种可能得实施方式,本发明实施例提供了第一方面的第四种可能的实施方式,其中,在所述错误类型为异常错误的情况下,确定所述危险访问接口,包括:
[0024] 调用预设代码审计程序,其中,所述预设代码审计程序为在所述客户端运行时自动进行代码审计的程序;
[0025] 通过所述预设代码审计程序,追溯所述SQL注入的SQL语句,以根据所述SQL语句确定所述危险访问接口。
[0026] 结合第一方面的第三种可能得实施方式,本发明实施例提供了第一方面的第五种可能的实施方式,其中,在根据所述第二目标字节的数值,确定所述响应错误的错误类型为正常错误的情况下,所述方法还包括:
[0027] 将所述第二字节位置的字节数值更新为第三数值,其中,所述第三数值用于表示所述响应结果为响应正确。
[0028] 结合第一方面的第三种可能得实施方式,本发明实施例提供了第一方面的第六种可能的实施方式,其中,在根据所述第二目标字节的数值,确定所述响应错误的错误类型为正常错误的情况下,所述方法还包括:
[0029] 更新所述第二字节位置的字节数值的表示意义,以使所述客户端对所述第二字节位置的字节数值表示的响应结果识别为响应正确。
[0030] 第二方面,本发明实施例还提供一种基于数据库协议的SQL注入审计或防护装置,包括:
[0031] 获取模
块,用于获取数据库服务器根据预设数据库协议发送的数据包,其中,所述数据包为响应所述客户端请求信息的数据包;
[0032] 分析模块,用于根据所述预设数据库协议的数据格式对所述数据包进行分析,以确定所述数据库服务器对所述请求信息的响应结果;
[0033] 确定模块,用于基于所述响应结果,确定SQL注入导致的对所述数据库服务器进行访问的危险访问接口,以便对访问所述危险访问接口的访问请求进行阻止。
[0034] 本发明实施例带来了以下有益效果:获取数据库服务器根据预设数据库协议发送的数据包,其中,数据包为响应客户端请求信息的数据包;根据预设数据库协议的数据格式对数据包进行分析,以确定数据库服务器对请求信息的响应结果,上述响应结果中包含了响应是否正确或响应错误的错误类型;基于响应结果,确定SQL注入导致的对所述数据库服务器进行访问的危险访问接口,具体在响应错误的错误类型为异常错误的情况下,针对访问危险访问接口的访问请求进行阻止,从而缓解了传统的SQL注入的审计和防护方法中存在的误报率较高的技术问题。
[0035] 本发明的其他特征和优点将在随后的
说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、
权利要求书以及
附图中所特别指出的结构来实现和获得。
[0036] 为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
[0037] 为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0038] 图1为本发明实施例一提供的一种基于数据库协议的SQL注入审计或防护方法的
流程图;
[0039] 图2为本发明实施例一提供的另一种基于数据库协议的SQL注入审计或防护方法的流程图;
[0040] 图3为本发明实施例二提供的一种基于数据库协议的SQL注入审计或防护装置的示意图;
[0041] 图4为本发明实施例二提供的确定模块的示意图。
[0042] 图标:100-获取模块;200-分析模块;300-确定模块;301-第一确定单元;302-提取单元;303-第二确定单元;304-第三确定单元;305-第一更新单元;306-第二更新单元。
具体实施方式
[0043] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0044] 关于SQL注入的审计和防护方法,包括:静态代码审计、动态代码审计以及用正则表达式进行正则匹配进行审计,然而,这些方法都存在误报率较高的技术问题。基于此,本发明实施例提供的一种基于数据库协议的SQL注入审计或防护方法及装置,可以缓解述传统的SQL注入的审计和防护方法中存在的误报率较高的技术问题。
[0045] 实施例一
[0046] 本发明实施例提供的一种基于数据库协议的SQL注入审计或防护方法,如图1所示,包括:
[0047] 步骤S102,获取数据库服务器根据预设数据库协议发送的数据包,其中,数据包为响应客户端请求信息的数据包;
[0048] 步骤S104,根据预设数据库协议的数据格式对数据包进行分析,以确定数据库服务器对请求信息的响应结果;
[0049] 步骤S106,基于响应结果,确定SQL注入导致的对数据库服务器进行访问的危险访问接口,以便对访问危险访问接口的访问请求进行阻止。
[0050] 需要说明的是,各种数据库服务器都有预设的用于传输网络数据的数据库协议。上述数据库服务器对请求信息的响应结果,表示数据库执行的正确与否。
[0051] 此外,分析每一条数据库协议数据包,如果数据库协议数据包中出现了报错数据包,就极有可能是入侵者发现了客户端的SQL注入漏洞造成的。因为不管一个测试人员还是一个黑客,在发现SQL注入漏洞的测试过程中基本都会触发一次以上的数据库执行错误,这个错误信息在应用程序上基本是不显示的,而且数据库系统也不会记录这个执行错误,数据库能够配置的错误日志只能记录数据库中启动、停止或者配置错误等错误信息;但是,数据库协议数据包却能够监控这个错误信息。因而,在不改动任何客户端程序的前提下,我们可以利用上述特征,监控所有的数据库报错信息,以便确认人为造成的SQL注入漏洞。
[0052] 在本发明实施例中,获取数据库服务器根据预设数据库协议发送的数据包,其中,数据包为响应客户端请求信息的数据包;根据预设数据库协议的数据格式对数据包进行分析,以确定数据库服务器对请求信息的响应结果,上述响应结果中包含了响应是否正确或响应错误的错误类型;基于响应结果,具体在响应错误的错误类型为异常错误的情况下,确定SQL注入导致的对所述数据库服务器进行访问的危险访问接口,准确对访问危险访问接口的访问请求进行阻止,从而缓解了传统的SQL注入的审计和防护方法中存在的误报率较高的技术问题。
[0053] 本发明实施例中的基于数据库协议的SQL注入审计或防护方法,既可以用在数据库审计方面,也可以用在web防火墙上,来监控或审计SQL注入漏洞。
[0054] 本发明实施例的一个可选实施方式中,获取数据库服务器根据预设数据库协议发送的数据包,包括:
[0055] 从客户端的驱动层获取数据库服务器根据预设数据库协议发送的数据包;或者,[0056] 通过预设插件获取数据库服务器根据预设数据库协议发送的数据包,其中,预设插件为预先安装在客户端,且被设置于获取数据库服务器传送的数据包的插件。
[0057] 需要说明的是,上述两种方法只是获取数据包的两种可选方式,本发明实施例中的获取数据包的可选方法并不限于这两种方法。
[0058] 本发明实施例的另一个可选实施方式中,如图2所示,根据预设数据库协议的数据格式对数据包进行分析,包括:
[0059] 步骤S201,根据预设数据库协议的数据格式,确定第一字节位置,其中,第一字节位置用于存储数据库服务器的响应结果;
[0060] 步骤S202,从数据包中提取处于第一字节位置的第一目标字节;
[0061] 步骤S203,根据第一目标字节的数值,确定数据库服务器的响应结果,确定出相应结果是否为正确响应。
[0062] 具体地,当客户端发起认证请求或命令请求之类的请求信息后,服务器会返回相应的响应结果给客户端,以对请求信息进行响应。响应结果包括响应报文,响应报文为服务器对请求信息的执行结果。
[0063] 客户端在收到响应报文后,需要首先检查第一字节位置的数值,来区分响应报文的类型。假设数据库服务器为mysql,响应报文的第四个字节即上述的第一字节位置,具体地,当第4个字节为0x00,则代表数据库服务器对客户端的请求信息执行正确,数据库服务器返回OK响应报文,响应报文的类型为正确响应报文;当第4个字节为0xFF(0xFF为错误标志字节),则代表数据库服务器对客户端的请求信息执行出错,数据库服务器返回Error报文响应报文的类型为错误响应报文。
[0064] 本发明实施例的另一个可选实施方式中,如图2所示,基于响应结果,确定SQL注入导致的对数据库服务器进行访问的危险访问接口,包括:
[0065] 步骤S204,在响应结果为响应错误的情况下,根据预设数据库协议的数据格式,确定第二字节位置,其中,第二字节位置用于存储响应错误的错误类型,其中,错误类型包括正常错误和异常错误;在在响应结果为响应正确的情况下,返
回执行上述步骤S102。
[0066] 步骤S205,从数据包中提取处于第二字节位置的第二目标字节;
[0067] 步骤S206,根据第二目标字节的数值,确定响应错误的错误类型,确定响应错误的错误的错误类型是否为正常错误;
[0068] 步骤S207,在错误类型不为正常错误,而为异常错误的情况下,确定危险访问接口。
[0069] 具体地,而错误响应报文中,在错误标志字节0xFF之后紧接着的字节位置为第二字节位置,第二字节位置的第二目标字节的数值表示的信息为:错误编号、服务器状态标志和服务器消息,从这些信息中可以确定出响应错误的错误类型。
[0070] 本发明实施例的另一个可选实施方式中,在错误类型为异常错误的情况下,确定危险访问接口,包括:
[0071] 调用预设代码审计程序,其中,预设代码审计程序为在客户端运行时自动进行代码审计的程序;
[0072] 通过预设代码审计程序,追溯SQL注入的SQL语句,以根据SQL语句确定危险访问接口。
[0073] 具体地,预设代码审计程序可以追溯代码层里面SQL注入的SQL语句,根据SQL语句确定危险访问接口,在访问接口处直接拦截客户端的连接或者封
锁攻击者IP。
[0074] 需要说明的是,一般正常程序自身正常工作状态下不会出现数据库执行报错,那么,监控中的数据库报错信息就能够确认是人为造成的SQL注入漏洞。然而,会有偶然的异常情况,即,客户端自身正常工作状态下,数据库服务器发送的数据包也会出现数据库执行报错,为了减少此类报错给SQL注入漏洞报错造成的误报现象,可以采用步骤S208,更新步骤。
[0075] 本发明实施例的另一个可选实施方式中给出了更新步骤S208的一种执行方法,即,在根据第二目标字节的数值,确定响应错误的错误类型为正常错误的情况下,基于数据库协议的SQL注入审计或防护方法还包括:
[0076] 步骤S208,将第二字节位置的字节数值更新为第三数值,其中,第三数值用于表示响应结果为响应正确。
[0077] 具体地,可以是通过管理员来
修改客户端程序代码,在客户端将第二字节位置的字节数值更新为第三数值,客户端的管理员不会接受到报错现象。
[0078] 本发明实施例的另一个可选实施方式中给出了更新步骤S208的另一种执行方法,具体地,在根据第二目标字节的数值,确定响应错误的错误类型为正常错误的情况下,基于数据库协议的SQL注入审计或防护方法还包括:
[0079] 步骤S208,更新第二字节位置的字节数值的表示意义,以使客户端对第二字节位置的字节数值表示的响应结果识别为响应正确。
[0080] 具体地,可以是对第二字节位置的字节数值加入客户端报错程序中的白名单,使客户端对第二字节位置的字节数值表示的响应结果识别为响应正确。
[0081] 需要强调的是,本发明实施例中的基于数据库协议的SQL注入审计或防护反复执行,则客户端程序代码被不断的修正后,或者,客户端报错程序中的白名单列表健壮后,则错误响应报文为SQL注入漏洞导致的概率可以大大提高,从而进一步降低SQL注入的审计和防护方法的误报率。具体地,本发明实施例中,即,步骤S207执行完后执行步骤S102,步骤S208执行完后执行步骤S102。
[0082] 实施例二
[0083] 本发明实施例提供的一种基于数据库协议的SQL注入审计或防护装置,如图3所示,包括:
[0084] 获取模块100,用于获取数据库服务器根据预设数据库协议发送的数据包,其中,数据包为响应客户端请求信息的数据包;
[0085] 分析模块200,用于根据预设数据库协议的数据格式对数据包进行分析,以确定数据库服务器对请求信息的响应结果;
[0086] 确定模块300,用于基于响应结果,确定SQL注入导致的对数据库服务器进行访问的危险访问接口,以便对访问危险访问接口的访问请求进行阻止。
[0087] 在本发明实施例中,获取模块100获取数据库服务器根据预设数据库协议发送的数据包,其中,数据包为响应客户端请求信息的数据包;分析模块200根据预设数据库协议的数据格式对数据包进行分析,以确定数据库服务器对请求信息的响应结果,上述响应结果中包含了响应是否正确或响应错误的错误类型;确定模块300基于响应结果,具体在响应错误的错误类型为异常错误的情况下,确定SQL注入导致的对所述数据库服务器进行访问的危险访问接口,准确对访问危险访问接口的访问请求进行阻止,从而缓解了传统的SQL注入的审计和防护方法中存在的误报率较高的技术问题。
[0088] 本发明实施例的另一个可选实施方式中,获取模块100用于:
[0089] 从客户端的驱动层获取数据库服务器根据预设数据库协议发送的数据包;或者,[0090] 通过预设插件获取数据库服务器根据预设数据库协议发送的数据包,其中,预设插件为预先安装在客户端,且被设置于获取数据库服务器传送的数据包的插件。
[0091] 本发明实施例的另一个可选实施方式中,分析模块200用于:
[0092] 根据预设数据库协议的数据格式,确定第一字节位置,其中,第一字节位置用于存储数据库服务器的响应结果;
[0093] 从数据包中提取处于第一字节位置的第一目标字节;
[0094] 根据第一目标字节的数值,确定数据库服务器的响应结果。
[0095] 本发明实施例的另一个可选实施方式中,如图4所示,确定模块300包括:
[0096] 第一确定单元301,用于在响应结果为响应错误的情况下,根据预设数据库协议的数据格式,确定第二字节位置,其中,第二字节位置用于存储响应错误的错误类型,其中,错误类型包括正常错误和异常错误;
[0097] 提取单元302,用于从数据包中提取处于第二字节位置的第二目标字节;
[0098] 第二确定单元303,用于根据第二目标字节的数值,确定响应错误的错误类型;
[0099] 第三确定单元304,用于在错误类型为异常错误的情况下,确定危险访问接口。
[0100] 本发明实施例的另一个可选实施方式中,第三确定单元304用于:
[0101] 调用预设代码审计程序,其中,预设代码审计程序为在客户端运行时自动进行代码审计的程序;
[0102] 通过预设代码审计程序,追溯SQL注入的SQL语句,以根据SQL语句确定危险访问接口。
[0103] 本发明实施例的另一个可选实施方式中,如图4所示,确定模块300还包括:
[0104] 第一更新单元305,用于在根据第二目标字节的数值,确定响应错误的错误类型为正常错误的情况下,将第二字节位置的字节数值更新为第三数值,其中,第三数值用于表示响应结果为响应正确。
[0105] 本发明实施例的另一个可选实施方式中,如图4所示,确定模块300还包括:
[0106] 第二更新单元306,用于在根据第二目标字节的数值,确定响应错误的错误类型为正常错误的情况下,更新第二字节位置的字节数值的表示意义,以使客户端对第二字节位置的字节数值表示的响应结果识别为响应正确。
[0107] 本发明实施例所提供的基于数据库协议的SQL注入审计或防护方法及装置的
计算机程序产品,包括存储了程序代码的计算机可读存储介质,程序代码包括的指令可用于执行前面方法实施例中的方法,具体实现可参见方法实施例,在此不再赘述。
[0108] 所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0109] 另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
[0110] 功能如果以
软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动
硬盘、只读
存储器(ROM,Read-Only Memory)、
随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0111] 在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“
水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
[0112] 此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
[0113] 最后应说明的是:以上实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉
本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
