监视大规模SQL注入攻击的安全研究人员警告说,使用自动化工具和使用搜索引擎进行侦察的组合,最新的攻击可能接近一百万个受感染页面。根据SANS研究所互联网风暴中心的一篇文章,自12月初首次发现以来,“ Lilupophilupop” SQL注入活动已感染了略超过一百万个URL。该安全公司首次注意到该活动时,仅检测到80个损坏的URL。SANS研究所的Internet Storm的处理人员Mark Hofman承认该列表包含重复的URL,但是无论实际感染的站点数量如何,该活动肯定都在增加。
登陆到受感染URL上的受害者将被重定向到其他站点,并在Lilupophilupop.com上结束,Lilupophilupop.com上可以显示“ adobeflash页面”,鼓励他们在其中下载他们认为是Adobe Flash更新的内容,或下载到虚假的防病毒站点。 。该骗局的最终目的是诱骗受害者购买他们不需要的软件或防病毒保护软件,一旦安装,可能会引起更多问题。
霍夫曼在对攻击的初步分析中写道:“攻击的来源各不相同,它是自动化的并且传播得相当迅速。”
最新的大规模注入类似于LizaMoon攻击,后者负责将150万个URL重定向到伪造的防病毒页面。根据SANS Institute的调查,荷兰的网站是Lilupophilupop的最大受害者,其次是法国的网站。后端运行在IIS,ASP或Microsoft SQL Server上的网站似乎是主要目标。霍夫曼说:
“如果要查找是否有问题,只需
在Google中搜索'
攻击者经常使用Imperva安全策略主管Rob Rachwald对eWEEK表示,Google和其他搜索引擎可以识别哪些网站是其最初研究的一部分。。他说,搜索可能很简单,只需寻找运行现成的内容管理系统的网站或其他已知漏洞的软件包,例如phpMyAdmin,这是一种流行的基于Web的用于管理SQL数据库的前端界面, 。还有某些参数可用于查找打开的端口,甚至可以找到服务器上可用的脚本。
Rachwald表示,安全管理员可以执行攻击者的操作,并在网站上使用各种技术参数(也称为“ Google Dorks”)运行查询,以查看搜索结果中显示的内容。据Rachwald讲,一旦服务器上的问题暴露出来,就可以清除它们。
攻击者经常使用机器人自动执行搜索过程。Imperva最近的一份报告显示,只有10个IP地址负责大约40%的SQL注入攻击。拉赫瓦尔德说:“有了这样的数字,列入黑名单是有意义的。” 单独加入黑名单并不能阻止SQL注入攻击,但是它可以减少某些攻击源。
还提供了自动SQL攻击工具,例如SQL map和Havij。这些工具各自具有可用于识别它们的独特图案和指纹。管理员可以通过检查HTTP标头和应用程序参数来识别自动攻击的不同模式,并完全阻止恶意工具访问应用程序。
“代码审查是艰巨而昂贵的,但是它可以解决问题,希望能永久解决。”
即使组织知道应用程序中存在安全漏洞,也可能有多种原因导致无法立即修复该漏洞。源代码可能不属于该组织,或者开发人员可能积压且无法进行修复。Rachwald说,Web应用程序防火墙还可以帮助阻止攻击,因为它可以用来阻止攻击利用应用程序中的漏洞。
