近来的SQL注入攻击显示,采用SQL注入的多级攻击可以提供对操作系统的交互式GUI(图形用户界面)访问。
一位欧洲的研究人员发现,SQL注入并不仅仅是为了攻击数据库和网页,这场影响范围巨大的攻击风暴也可以作为进入操作系统的垫脚石。
Portcullis计算机安全的高级渗透测试人员Alberto Revelli星期二在伦敦的EUSecWest大会上演示了一种多级攻击,它采用可以从根本上给攻击者对底层操作系统进行交互GUI方式的访问。
Revelli 也被人们称为“icesurfer”,他指出,当今的数据库管理系统都有一些工具和功能组件,可以直接与操作系统及网络联接。他说,“这意味着如果我可以通过一次SQL注入攻击一个Web应用程序,我就不只局限于存储在数据库中的数据,而且我还可以设法获得对DBMS(数据库管理系统)所在的主机的交互式访问。”
他的攻击,结合SQL注入攻击、IPS、对Web应用程序防火墙的逃避等手段,目的是为了强力破解系统管理员的口令,将Web应用程序作为其攻击的初始阶段。Revelli 说,“在这些情况中,Web应用程序是达到真正目标的一种垫脚石,也就是到达部署DBMS的主机。”在EUSec上展示之前,他一真秘密保持着一些细节。
他说,这种攻击允许攻击者在受破坏的系统上运行命令,并可以看到攻击的结果。“通常情况下,这种攻击会导致进入DOS(磁盘操作系统)提示符,它并不十分强大。我的观点是有可能再前进一步,在许多情况下会获得对远程数据库服务器桌面的图形化访问。”
Revelli将在其演示中采用微软的SQL Server作为示例,但他说,这种攻击适用于所有的数据库技术。这些弱点并不仅仅存在于数据库软件中,而且Web应用程序、防火墙规则集、其它的一些配置也使这种攻击成为可能。“构成这种攻击的每一个组成部分会利用每一个漏洞或架构不同部分的某种错误配置。”
一旦攻击者获得了对数据库的远程访问,他就可以查看文件,攫取数据,关闭数据库,甚至更深入地攻入网络。
本周Revelli 还计划发布他的Sqlninja攻击工具的一个新版本,他将在演示中使用这种工具。
Revelli说,要防御这种针对数据库/操作系统的攻击需要多种措施的组合,包括最少特权、深度防御,并在设计网络和网页时将安全牢记在心。
“关键是在评估一个网络所暴露出来的风险时,我们不但应当将SQL注入看作是一个对存储在数据库上数据的威胁,而且应当看作是对整个网络的威胁。”
