【IT专家网独家】自去年下半年开始,很多网站被恶意代码说困扰,攻击者在动态网页的SQL数据库中注入恶意的HTML <script>标签。这种脚本攻击行为在2008年第一季度开始加速传播,并继续影响有漏洞的Web应用。
这些Web应用存在以下几点共性:
使用ASP作为编程代码;
使用SQL Server数据库;
应用程序代码根据URI请求字符串生成动态SQL查询(http://consoto.com/widgets.asp?widget=sprocket)。
这代表了一种新的SQL注入(SQL injection)途径(http://msdn.microsoft.com/en-us/library/ms161953.aspx)。在过去,SQL注入攻击的目标通常是具有安全漏洞或特殊数据库结构的Web应用。如今这种攻击的不同在于,攻击能够利用任何URI请求字符串来创建动态SQL查询,进而攻击任何存在的漏洞。在http://blogs.technet.com/neilcar/archive/2008/03/15/anatomy-of-a-sql-injection-incident-part-2-meat.aspx可以找到更多技术详情和代码。
这种攻击并非利用了Window、IIS、SQL Server或者其他底层代码漏洞,相反地它利用了在这些基础平台上运行的WEB应用漏洞。Microsoft已经对这些攻击进行了彻底的调查,并发现这些攻击和以往微软产品的补丁和0-day漏洞无关。更多信息访问http://blogs.technet.com/msrc/archive/2008/04/25/questions-about-web-server-attacks.aspx。
正如上面所指出的,SQL注入攻击在近年来呈现一种增长的趋势。至少两点重要因素促使其增长:
一方面,自动化的恶意攻击工具。SANS在http://isc.sans.org/diary.html?storyid=4294讨论了这类工具。恶意攻击工具使用搜索引擎来寻找存在漏洞站点并进行SQL注入。
另一方面,网络中存在的僵尸计算机正在进行SQL注入攻击,并以此来广泛传播僵尸主机。SecureWorks上对此案例进行了分析。http://www.secureworks.com/research/threats/danmecasprox/
一旦某台服务器被该漏洞所攻击,它将被插入<script>标签来指向某个恶意的JS文件。虽然这些文件的内容不同,但都尝试利用已经被修复的Micfosoft漏洞以及第三方ActiveX控件漏洞,对用户计算机发动攻击。由于这些脚本相对独立存在,这些脚本可以被快速修改,从而利用新的客户端漏洞。
