基于HttpModule的防SQL注入策略

◆張 勇 安靜鑫

(山東輕工職業學院信息中心 山東 255300)

基于HttpModule的防SQL注入策略

◆張 勇 安靜鑫

(山東輕工職業學院信息中心 山東 255300)

SQL注入是入侵Web服務器最常見的行為，本文提出了基于HttpModule的防注入策略，在HttpModule管道中攔截用戶請求，用正則表達式和XML配置信息，分析用戶請求的合法性，對非法請求采取中止請求、屏蔽IP等措施，從而防止SQL注入，這種方法具有靈活高效、簡便易用的特點。

SQL注入; HttpModule; 用戶請求過濾; IP屏蔽

0 引言

目前大多數企事業單位建設了本部門的 Web服務器，這些服務器多數使用Windows Server和asp.net、php等腳本語言架設網站，經過多年的發展，網站的布局越來越合理、功能越來越完備，但是安全問題卻越來越突出，被攻擊事件層出不窮，有的數據被竊取導致嚴重后果，例如徐玉玉電信詐騙案；有的網頁被篡改，被鏈接到木馬、游戲和境外網頁上，造成惡劣影響。

因此網站管理員越發重視 Web服務器安全問題，為此采取了諸多防范措施，例如購買安全狗、殺毒軟件、加固 Web服務器、安裝Web防火墻、查找SQL注入漏洞等等，其中防范SQL注入攻擊對管理員的業務水平要求很高，防范難度很大，本文研究重點就是使用HttpModule實時檢測和防范SQL注入攻擊，以達到保護Web服務器的目的。

由于國內多數企事業單位使用windows server和IIS搭建網站，因此本文的研究方法是針對windows server + IIS+ASP.NET環境的，但是設計思路同樣適合于linux下的apache和Tomcat環境。

本文使用的術語說明：

（1）Web網站：是指假設在Web服務器上，供用戶訪問的網頁集合。

（2）Web服務器：是指架設Web網站的服務器平臺，因此保護網站實際上就是保護服務器。

（3）用戶請求：是指用戶使用瀏覽器或其他軟件向Web網站發出的的http請求，主要分為get和post兩種，請求中包含了用戶IP、瀏覽器版本、提交的參數等信息。

1 防SQL注入攻擊措施

1.1 現有措施

目前，Web服務器防范SQL注入攻擊主要依靠IT公司推出的各種WAF（Web應用防護系統），WAF可分為三類：

（1）硬件Web防火墻：部署簡單，可承受較高的吞吐量，但是價格昂貴，中小網站負擔不起。

（2）軟件Web防火墻：界面友好，功能比較全面，如掃描惡意木馬文件、防篡改等功能，價格低廉，但是占用服務器內存較大，軟件兼容不夠好、不夠穩定。

（3）云WAF：部署簡單，維護成本低，由于由云端負責防護規則的更新和維護，用戶的工作量極少，但是由于所有訪問數據都會先經過云端，所以保密性差，不適用于多數企事業單位。

無論哪一類WAF目前都存在一些不足，主要表現在：

（1）配置功能不夠全面： IT公司提供的產品是通用的，而國內數以萬計的網站安全要求各不相同，很多個性化要求無法滿足，假設用戶希望能自定義正則表達式分析get和post請求的內容，這樣的要求目前沒有哪一款WAF能夠滿足。

（2）屏蔽IP的功能不足。雖然多數WAF提供了IP黑名單功能，但主要依靠管理員手動添加，防范作用不大，管理員更希望在網站運行時，能自動屏蔽非法IP，甚至能建立windows防火墻的規則屏蔽之。

鑒于上述WAF存在的不足，本文提出了基于HttpModule模塊的SQL防注入策略，它不但可以防御SQL注入，還可以阻止掃描網站，在一定程度上代替了WAF的作用，實踐證明本策略設計的軟件簡便靈活，過濾效果顯著。

1.2 本方法創新點

本策略創新點如下：

（1）使用XML文件自定義配置，簡單靈活。

（2）動態、實時屏蔽非法IP。

（3）使用正則表達式過濾非法請求。

2 用戶請求處理流程

正常情況下，用戶打開一個網頁或者點擊鏈接就是在向Web網站發送若干請求，用戶請求在IIS服務器的處理過程比較復雜，以下僅作簡要說明。

當用戶通過瀏覽器發送http請求時，該請求會傳給Web服務器上的w3wp.exe進程，該進程構造一個HttpRuntime類的實例，該實例通過調用ProcessRequest方法產生一個HttpContext實例，從編程者角度看這是一個最重要的實例，因為可以通過它獲得用戶請求。之后用戶請求將通過一個“HttpModule模塊管道”，之所以稱為管道是因為用戶請求將經過一系列HttpModule模塊，每個模塊可以攔截用戶請求進行處理。

“模塊管道”的終點是 HttpHandler，用戶請求穿過HttpModule模塊管道后，最后到達HttpHandle模塊，HttpHandle返回用戶請求的網頁內容，通過用戶瀏覽器解析顯示出來，如圖1所示。

圖1 模塊管道

通過以上描述，得到以下信息：

（1）可以編寫一個HttpModule模塊，作為“模塊管道”的一部分，它是用戶請求的必經節點。

（2）在HttpModule模塊內，通過訪問HttpContext實例獲得用戶請求，然后分析是否存在注入。

3 設計思路

3.1 獲取用戶請求

使用 C#語言編寫一個 HttpModule模塊，模塊中必須含有Application_BeginRequest(Object source， EventArgs e)方法，參數source就是傳遞來的用戶請求，在方法中對它進行類型轉換，語句如下：

HttpRequest request=((HttpApplication)source).Context.Request，這樣就得到了HttpRequest類的實例request，request中包含了用戶請求的信息，根據request的RequestType屬性可知當前請求屬于哪一種，本文重點分析get請求，post請求的分析方法類似。

3.2 判斷SQL注入攻擊

首先要明確SQL注入攻擊的特征是什么。根據經驗，黑客主要通過get參數和post提交兩種方式進行SQL注入攻擊，以get參數方式攻擊為例，具體表現是在get參數中使用各類非法字符，精心構造各種sql命令傳遞給Web服務器，根據返回的結果，獲得數據庫或服務器的敏感信息進而控制整個 Web服務器，這就是SQL注入的實質。

由此可知，檢查request實例含有的get參數，就可以判斷當前request是否存在SQL攻擊，要檢查的符號包括：單引號、圓括號、方括號、尖括號、花括號、星號、分號等；要檢查的SQL關鍵詞包括：select、union、where、javascript、group、administrator、cmdshell、alert等，由于數量較多，這里不能一一列出，如果get參數中含有這些符號或關鍵詞，就可以認定當前請求為SQL注入攻擊。

但是這樣的簡單檢查誤報率較高，有時候合法參數中也會含有select，上述檢查會將這個合法請求誤判為SQL攻擊，這時候可以使用正則表達式進一步判斷，例如：.*(select).*(from|where)，它表示get參數中select和from或where同時存在，才判斷是SQL攻擊，這就大大降低了誤報率，只是在反應時間上稍慢而已，用戶幾乎感覺不到。

3.3 判斷惡意掃描

除了SQL注入攻擊，入侵者還經常使用掃描工具對網站進行高頻率掃描，網站會在數秒內接收到來自某個IP的上千次的get請求，因此有必要過濾這些高頻掃描。算法設計如下所示：

（1）首先設定一個單位時間訪問上限，規定本網站每N秒最多允許接收某IP的M個get請求。

（2）在HttpModule模塊中定義一個靜態變量，用來記錄每個IP的訪問次數，每收到一個get請求，就將其IP來訪次數加1。

（3）模塊中定義一個Timer計數器，每隔N秒檢查所有被記錄的IP的訪問次數，若發現某個IP發送的請求數量高于限定值M，就認定此IP在掃描網站，應該禁止此IP一段時間。

需要注意的是，防止高頻掃描可能會禁止蜘蛛爬蟲抓取網頁，影響網站收錄。

3.4 配置XML

為了防御變化多端的SQL注入，本策略使用XML實現靈活配置，XML中應該至少含有以下信息。

（1）SQL注入可能出現的非法符號、SQL關鍵詞，例如單引號、分號、cmdshell、system32等；

（2）用來檢查 SQL注入的正則表達式集合，例如.*(select).*(from|where)；

（3）異常日志文件路徑、SQL注入的來源IP記錄日志等；

（4）用于判斷惡意掃描的時間間隔和訪問次數上限，例如可以分別設為60秒和500次；

（5）被檢查的請求對象，例如asp、php網頁；

（6）IP白名單和URL白名單，是指那些不需要檢測和過濾的IP和URL集合；

（7）IP的禁止時間長度，可以設為幾分鐘甚至幾個小時，最終應該解禁。

3.5 屏蔽非法IP

屏蔽IP，主要采用兩種方式：

（1）禁止http訪問本網站：檢查每個請求的來源IP，若來自被屏蔽的IP，直接終止請求即可。

（2）禁止訪問本服務器：通過執行netsh.exe命令，在windows防火墻上添加規則，例如：netsh advfirewall firewall add rule name="IP1" dir=in action=block remoteIP=24.105.9.201，此命令將徹底禁止24.105.9.201訪問Web服務器。

3.6 安裝部署和過濾效果

（1）軟件安裝

將上述算法編寫的dll文件和XML配置文件一同放置在網站bin目錄下，然后在Web.config中添加如下節點即可。

當第一個用戶請求到來時，會從XML文件中讀取信息賦值給一組靜態變量，以后每當用戶請求到來，不再讀取XML文件，直接根據靜態變量的值分析請求的合法性，執行速度很快。

將XML文件放置在網站bin目錄下具有另一個優點，每當XML發生改變，ASP.NET就會自動重新加載dll程序，無需重啟網站和IIS，十分方便。

（2）過濾效果

圖2是dll程序記錄的一部分過濾日志，分析日志發現，SQL注入攻擊頻繁發生且變化多端，只有使用正則表達式才能保證高效全面的過濾。

圖2 SQL過濾日志

4 結語

本文提出的基于HttpModule攔截SQL注入攻擊的方法，靈活高效、簡便易用，在一定程度上可以替代WAF且完全免費，適用于基于ASP.NET架構的Web服務器。

[1] 張慧琳，鄒維．網頁木馬機理與防御技術[J]．軟件學報，2013．

[2] 王云，郭外萍．Web項目中的SQL注入問題研究與防范方法 [J]．計算機工程與設計，2010．

[3] 楊小麗，袁丁等．防SQL注入攻擊的數據庫驅動設計與實現[J]．計算機工程與設計，2010．

[4] 梁玲．網頁木馬植入與防范技術研究[J]．太原師范學院學報(自然科學版)，2010．

[5] 黃景文． SQL注入攻擊的一個新的防范策略[J]．微計算機信息，2008．

[6] 陳小兵，張漢煜，駱力明等．SQL注入攻擊及其防范檢測技術研究[J]．計算機工程與應用，2007．

[7] 蔣繼婭，劉彤，王樹威等．Web應用中的SQL注入攻擊與防護方案研究[J]．計算機安全，2008．

[8] 王攻明，吳華瑞等．正則表達式在電子政務客戶端校驗中的應用[J]．計算機工程，2007．

淄博市科技創新項目(編號：2016kj010042)；山東輕工職業學院院級項目（編號：2016GC01）。