【产品技术】SQL注入攻击防护示例

用户需要使用DBSS拦截来自SQL（Structured Query Language）注入，同时需要对SQL注入暴露敏感信息进行脱敏。

SQL注入攻击属于数据库安全攻击手段之一，通过将SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

SQL注入攻击过程简单，攻击者可以借助SQL注入攻击工具对目标网站进行攻击或破坏，主要危害包括：

未经授权非法操作数据库中的数据

数据库信息泄漏

数据库中存放的用户的隐私信息的泄露，攻击者盗取用户的各类敏感信息，获取利益。

恶意篡改网页

通过修改数据库来修改网页的内容。

数据库被恶意操作

数据库服务器被攻击，数据库的系统管理员账号被窜改，攻击者私自添加系统账号或数据库使用者账号。

网站被挂马，传播恶意软件

修改数据库一些字段的值，嵌入网马链接，进行挂马攻击。

服务器被远程控制，被安装后门

攻击者通过数据库服务器支持的操作系统，修改或控制操作系统。

破坏硬盘数据，导致全系统瘫痪

防护原理

DBSS提供的数据库安全防护服务，基于反向代理及机器学习机制，提供数据库防火墙、数据脱敏、敏感数据发现和数据库防拖库功能，可以持续保护数据库安全，防SQL注入攻击的部署架构图

在使用数据库安全防护前，您需要登录数据库安全防护控制台（即HexaTier），并配置日志存储位置以及创建受保护的数据库。

前提条件

已购买数据库安全防护实例。

操作说明

远程日志配置

配置远程日志参数

表1 远程日志配置参数说明

参数名称

说明

配置示例

日志数据库类型

选择连接日志存储位置的数据库类型。

MySQL

地址

存储远程日志的数据库实例的主机名或IP地址。

192.168.1.1

端口

数据库端口，用于连接数据库实例。例如MySQL数据库的“3306”端口，或者用户创建RDS MySQL数据库时，系统分配的端口（8635），用户可以根据实际情况进行配置。

3306

数据库名称

存储系统日志的数据库名称，用户可以根据需要进行配置。

-

用户名

用于登录到日志存储数据库的用户名，该用户名需要具有日志存储数据库的读写权限以及系统表的读权限。

-

密码

用于登录到日志存储数据库的密码。

-

测试远程日志存储数据库连接情况。测试成功后，单击“更新”，完成配置。

创建受保护的数据库

在“受保护数据库”页面，选择受保护数据库类型并配置受保护数据库

表1 受保护数据库配置参数说明

参数名称

说明

数据库服务器地址

数据库实例的主机名或IP地址。

端口

端口为数据库的连接端口，MySQL默认为“3306”端口，用户可以根据情况自己配置。

名称

连接的数据库实例的别名，HexaTier会自动生成名称，用户可以自定义该名称。

默认数据库

HexaTier将自动连接到数据库实例中的默认数据库，MySQL默认数据库为“mysql”，用户也可以更改默认数据库。

鉴权方式

通过登录帐户连接数据库，说明如下：

§    SQL鉴权：通过SQL帐户连接。

§    Windows鉴权：通过Windows鉴权连接。

需要配置域集成之后，才会显示“Windows鉴权”选项，否则默认为“SQL鉴权”。

用户名

用于登录到数据库的用户名，该用户名需要具有系统库的读权限。

密码

用于登录到数据库的密码。

（可选）单击“高级代理配置”，设置代理，并配置其SSL安全。

创建受保护数据库时，HexaTier会自动创建默认代理，也可以修改代理，设置代理。

创建受保护数据库时，HexaTier会自动创建默认代理，也可以修改代理，设置代理。

单击“创建”，新建的受保护数据库将添加到受保护数据库列表中。

（可选）在左侧导航树上，选择“对象定义”，配置策略对象。

通用安全

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。