摘要：據(jù)2020年國(guó)家信息安全漏洞庫(kù)發(fā)布的月度（一月至十一月）漏洞報(bào)告數(shù)據(jù)顯示，SQL注入漏洞是高危漏洞之一。SQL注入作為一種“古老”的Web攻擊手段于1999年被認(rèn)定為常見(jiàn)Web安全威脅之一，并在OWASP TOP10關(guān)于注入攻擊說(shuō)明中被列在注入類(lèi)攻擊的首位。至今，簡(jiǎn)單高效的SQL注入仍是黑客慣用的攻擊手法之一，如何更好應(yīng)對(duì)這種“經(jīng)久不衰”的高危攻擊方式，依舊是保護(hù)Web服務(wù)需面對(duì)的重要問(wèn)題。

知己知彼，方可百戰(zhàn)不殆

SQL注入攻擊的本質(zhì)是服務(wù)器誤將攻擊者輸入的非法SQL語(yǔ)句當(dāng)作代碼執(zhí)行。設(shè)計(jì)存在缺陷的Web程序忽略了檢查用戶(hù)輸入數(shù)據(jù)的合法性，入侵者向數(shù)據(jù)庫(kù)注入非法SQL指令后即可根據(jù)程序返回的結(jié)果竊取關(guān)鍵信息甚至管理權(quán)限，從而達(dá)到盜取網(wǎng)站文件數(shù)據(jù)或者給網(wǎng)頁(yè)植入木馬暗鏈等目的。

天融信TopWAF防御之道

高危險(xiǎn)性SQL注入攻擊一直是Web安全防御的要點(diǎn)之一。作為集事前風(fēng)險(xiǎn)探知、事中即時(shí)防御、事后威脅分析于一體的Web全安全周期防護(hù)產(chǎn)品，天融信Web應(yīng)用防火墻系統(tǒng)（TopWAF）可有效防御當(dāng)前主流的SQL注入等Web攻擊。

TopWAF事前風(fēng)險(xiǎn)探知具有Web漏掃與虛擬補(bǔ)丁功能。Web漏洞掃描功能可檢測(cè)站點(diǎn)的安全風(fēng)險(xiǎn)，安全人員可將漏洞掃描產(chǎn)生的站點(diǎn)風(fēng)險(xiǎn)報(bào)告導(dǎo)入TopWAF中，結(jié)合虛擬補(bǔ)丁功能生成針對(duì)性的臨時(shí)Web安全防護(hù)策略實(shí)現(xiàn)主動(dòng)防御，形成事前風(fēng)險(xiǎn)探知防御體系。

TopWAF內(nèi)置豐富SQL注入攻擊規(guī)則，事中防御引擎通過(guò)對(duì)Web應(yīng)用流量的深度檢測(cè)，采用歸一化的引擎算法實(shí)現(xiàn)攻擊指紋庫(kù)以及響應(yīng)數(shù)據(jù)檢測(cè)處理的歸一化，提高準(zhǔn)確性與檢測(cè)效率，結(jié)合防逃逸技術(shù)，可有效實(shí)現(xiàn)對(duì)SQL注入攻擊的正向阻斷。對(duì)于未被記錄在冊(cè)的SQL注入方式，TopWAF具備自智能學(xué)習(xí)能力構(gòu)建正向參數(shù)模型，基于正向模型參數(shù)識(shí)別非法請(qǐng)求，實(shí)時(shí)防御未知SQL注入威脅。

事后威脅分析功能可將攻擊信息實(shí)時(shí)記錄到攻擊日志，有效協(xié)助安全人員復(fù)現(xiàn)追溯攻擊方式與路徑，提供完整的攻擊事件復(fù)原，便于在攻擊發(fā)生后優(yōu)化調(diào)整安全策略。

天融信作為中國(guó)的網(wǎng)絡(luò)安全、大數(shù)據(jù)與云服務(wù)提供商，一直以來(lái)專(zhuān)注為客戶(hù)提供高品質(zhì)的網(wǎng)絡(luò)安全產(chǎn)品及解決方案，面對(duì)步步緊逼、不斷升級(jí)的Web安全威脅，TopWAF可為客戶(hù)提供更為全面的Web安全防護(hù)能力。