产品技术SQL注入攻击防护示例

网友投稿 651 2022-05-29

用户需要使用DBSS拦截来自SQL(Structured Query Language)注入,同时需要对SQL注入暴露敏感信息进行脱敏。

SQL注入攻击属于数据库安全攻击手段之一,通过将SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

SQL注入攻击过程简单,攻击者可以借助SQL注入攻击工具对目标网站进行攻击或破坏,主要危害包括:

未经授权非法操作数据库中的数据

数据库信息泄漏

数据库中存放的用户的隐私信息的泄露,攻击者盗取用户的各类敏感信息,获取利益。

恶意篡改网页

通过修改数据库来修改网页的内容。

数据库被恶意操作

数据库服务器被攻击,数据库的系统管理员账号被窜改,攻击者私自添加系统账号或数据库使用者账号。

网站被挂马,传播恶意软件

修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。

服务器被远程控制,被安装后门

攻击者通过数据库服务器支持的操作系统,修改或控制操作系统。

破坏硬盘数据,导致全系统瘫痪

防护原理

DBSS提供的数据库安全防护服务,基于反向代理及机器学习机制,提供数据库防火墙、数据脱敏、敏感数据发现和数据库防拖库功能,可以持续保护数据库安全,防SQL注入攻击的部署架构图

在使用数据库安全防护前,您需要登录数据库安全防护控制台(即HexaTier),并配置日志存储位置以及创建受保护的数据库。

前提条件

已购买数据库安全防护实例。

操作说明

远程日志配置

配置远程日志参数

表1 远程日志配置参数说明

参数名称

说明

配置示例

日志数据库类型

选择连接日志存储位置的数据库类型。

MySQL

地址

存储远程日志的数据库实例的主机名或IP地址。

192.168.1.1

端口

数据库端口,用于连接数据库实例。例如MySQL数据库的“3306”端口,或者用户创建RDS MySQL数据库时,系统分配的端口(8635),用户可以根据实际情况进行配置。

3306

数据库名称

存储系统日志的数据库名称,用户可以根据需要进行配置。

-

用户名

用于登录到日志存储数据库的用户名,该用户名需要具有日志存储数据库的读写权限以及系统表的读权限。

-

密码

用于登录到日志存储数据库的密码。

-

测试远程日志存储数据库连接情况。测试成功后,单击“更新”,完成配置。

创建受保护的数据库

在“受保护数据库”页面,选择受保护数据库类型并配置受保护数据库

表1 受保护数据库配置参数说明

参数名称

说明

数据库服务器地址

数据库实例的主机名或IP地址。

端口

端口为数据库的连接端口,MySQL默认为“3306”端口,用户可以根据情况自己配置。

名称

连接的数据库实例的别名,HexaTier会自动生成名称,用户可以自定义该名称。

默认数据库

HexaTier将自动连接到数据库实例中的默认数据库,MySQL默认数据库为“mysql”,用户也可以更改默认数据库。

鉴权方式

通过登录帐户连接数据库,说明如下:

§    SQL鉴权:通过SQL帐户连接。

【产品技术】SQL注入攻击防护示例

§    Windows鉴权:通过Windows鉴权连接。

需要配置域集成之后,才会显示“Windows鉴权”选项,否则默认为“SQL鉴权”。

用户名

用于登录到数据库的用户名,该用户名需要具有系统库的读权限。

密码

用于登录到数据库的密码。

(可选)单击“高级代理配置”,设置代理,并配置其SSL安全。

创建受保护数据库时,HexaTier会自动创建默认代理,也可以修改代理,设置代理。

创建受保护数据库时,HexaTier会自动创建默认代理,也可以修改代理,设置代理。

单击“创建”,新建的受保护数据库将添加到受保护数据库列表中。

(可选)在左侧导航树上,选择“对象定义”,配置策略对象。

通用安全

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:Luke初识Scale Out 和Scale Up
下一篇:华润置地东北大区智能采购:“1万+”供应商在线签合同
相关文章