【產品技術】SQL注入攻擊防護示例
用戶需要使用DBSS攔截來自SQL(Structured Query Language)注入,同時需要對SQL注入暴露敏感信息進行脫敏。
SQL注入攻擊屬于數據庫安全攻擊手段之一,通過將SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。
SQL注入攻擊過程簡單,攻擊者可以借助SQL注入攻擊工具對目標網站進行攻擊或破壞,主要危害包括:
未經授權非法操作數據庫中的數據
數據庫信息泄漏
數據庫中存放的用戶的隱私信息的泄露,攻擊者盜取用戶的各類敏感信息,獲取利益。
惡意篡改網頁
通過修改數據庫來修改網頁的內容。
數據庫被惡意操作
數據庫服務器被攻擊,數據庫的系統管理員賬號被竄改,攻擊者私自添加系統賬號或數據庫使用者賬號。
網站被掛馬,傳播惡意軟件
修改數據庫一些字段的值,嵌入網馬鏈接,進行掛馬攻擊。
服務器被遠程控制,被安裝后門
攻擊者通過數據庫服務器支持的操作系統,修改或控制操作系統。
破壞硬盤數據,導致全系統癱瘓
防護原理
DBSS提供的數據庫安全防護服務,基于反向代理及機器學習機制,提供數據庫防火墻、數據脫敏、敏感數據發現和數據庫防拖庫功能,可以持續保護數據庫安全,防SQL注入攻擊的部署架構圖
在使用數據庫安全防護前,您需要登錄數據庫安全防護控制臺(即HexaTier),并配置日志存儲位置以及創建受保護的數據庫。
前提條件
已購買數據庫安全防護實例。
操作說明
遠程日志配置
配置遠程日志參數
表1 遠程日志配置參數說明
參數名稱
說明
配置示例
日志數據庫類型
選擇連接日志存儲位置的數據庫類型。
MySQL
地址
存儲遠程日志的數據庫實例的主機名或IP地址。
192.168.1.1
端口
數據庫端口,用于連接數據庫實例。例如MySQL數據庫的“3306”端口,或者用戶創建RDS MySQL數據庫時,系統分配的端口(8635),用戶可以根據實際情況進行配置。
3306
數據庫名稱
存儲系統日志的數據庫名稱,用戶可以根據需要進行配置。
-
用戶名
用于登錄到日志存儲數據庫的用戶名,該用戶名需要具有日志存儲數據庫的讀寫權限以及系統表的讀權限。
-
密碼
用于登錄到日志存儲數據庫的密碼。
-
測試遠程日志存儲數據庫連接情況。測試成功后,單擊“更新”,完成配置。
創建受保護的數據庫
在“受保護數據庫”頁面,選擇受保護數據庫類型并配置受保護數據庫
表1 受保護數據庫配置參數說明
參數名稱
說明
數據庫服務器地址
數據庫實例的主機名或IP地址。
端口
端口為數據庫的連接端口,MySQL默認為“3306”端口,用戶可以根據情況自己配置。
名稱
連接的數據庫實例的別名,HexaTier會自動生成名稱,用戶可以自定義該名稱。
默認數據庫
HexaTier將自動連接到數據庫實例中的默認數據庫,MySQL默認數據庫為“mysql”,用戶也可以更改默認數據庫。
鑒權方式
通過登錄帳戶連接數據庫,說明如下:
§? ? SQL鑒權:通過SQL帳戶連接。
§? ? Windows鑒權:通過Windows鑒權連接。
需要配置域集成之后,才會顯示“Windows鑒權”選項,否則默認為“SQL鑒權”。
用戶名
用于登錄到數據庫的用戶名,該用戶名需要具有系統庫的讀權限。
密碼
用于登錄到數據庫的密碼。
(可選)單擊“高級代理配置”,設置代理,并配置其SSL安全。
創建受保護數據庫時,HexaTier會自動創建默認代理,也可以修改代理,設置代理。
創建受保護數據庫時,HexaTier會自動創建默認代理,也可以修改代理,設置代理。
單擊“創建”,新建的受保護數據庫將添加到受保護數據庫列表中。
(可選)在左側導航樹上,選擇“對象定義”,配置策略對象。
通用安全
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
相關文章
