近來的SQL注入攻擊顯示,采用SQL注入的多級攻擊可以提供對操作系統的交互式GUI(圖形用戶界面)訪問。
一位歐洲的研究人員發現,SQL注入並不僅僅是為了攻擊數據庫和網頁,這場影響范圍巨大的攻擊風暴也可以作為進入操作系統的墊腳石。
Portcullis計算機安全的高級滲透測試人員Alberto Revelli星期二在倫敦的EUSecWest大會上演示了一種多級攻擊,它采用可以從根本上給攻擊者對底層操作系統進行交互GUI方式的訪問。
Revelli 也被人們稱為“icesurfer”,他指出,當今的數據庫管理系統都有一些工具和功能組件,可以直接與操作系統及網絡聯接。他說,“這意味著如果我可以通過一次SQL注入攻擊一個Web應用程序,我就不只局限於存儲在數據庫中的數據,而且我還可以設法獲得對DBMS(數據庫管理系統)所在的主機的交互式訪問。”
他的攻擊,結合SQL注入攻擊、IPS、對Web應用程序防火牆的逃避等手段,目的是為了強力破解系統管理員的口令,將Web應用程序作為其攻擊的初始階段。Revelli 說,“在這些情況中,Web應用程序是達到真正目標的一種墊腳石,也就是到達部署DBMS的主機。”在EUSec上展示之前,他一真秘密保持著一些細節。
他說,這種攻擊允許攻擊者在受破壞的系統上運行命令,並可以看到攻擊的結果。“通常情況下,這種攻擊會導致進入DOS(磁盤操作系統)提示符,它並不十分強大。我的觀點是有可能再前進一步,在許多情況下會獲得對遠程數據庫服務器桌面的圖形化訪問。”
Revelli將在其演示中采用微軟的SQL Server作為示例,但他說,這種攻擊適用於所有的數據庫技術。這些弱點並不僅僅存在於數據庫軟件中,而且Web應用程序、防火牆規則集、其它的一些配置也使這種攻擊成為可能。“構成這種攻擊的每一個組成部分會利用每一個漏洞或架構不同部分的某種錯誤配置。”
一旦攻擊者獲得了對數據庫的遠程訪問,他就可以查看文件,攫取數據,關閉數據庫,甚至更深入地攻入網絡。
本周Revelli 還計劃發布他的Sqlninja攻擊工具的一個新版本,他將在演示中使用這種工具。
Revelli說,要防御這種針對數據庫/操作系統的攻擊需要多種措施的組合,包括最少特權、深度防御,並在設計網絡和網頁時將安全牢記在心。
“關鍵是在評估一個網絡所暴露出來的風險時,我們不但應當將SQL注入看作是一個對存儲在數據庫上數據的威脅,而且應當看作是對整個網絡的威脅。”
