參與一次 SQL Injection 防禦

最近與 Winnie 合作,找尋一個癱瘓網路的攻擊原因,整個伺服器群內滿目瘡痍的木馬。又與 SQL Injection 這個老問題有關,只是這次不僅是偷資料,而是毀掉 IT 機房內的各系統

眾多開發商,各種帳號權限過大,程式碼有 SQL Injection 的問題…

幾個老生常談的基本阻斷面向:

  • 帳號與權限
    • SQL Server Services Account 權限不可以大
    • AP 帳號不能有SQL Server System Admin 權限
  • 程式碼品質
    • AP 程式要防 SQL Injection
  • 功能
    • Firewall 要有阻斷、監控、追蹤的功能
    • SQL Server Surface Area 要關閉
  • 監控
    • 網路的監控能力
    • SQL Auditing 要開啟,尤其對高權限語法
    • 定期看SQL Server log 與 trace
    • 對 Audit 與 Log 的變動要被 trace 與 warning

另外,對外包廠商的品管能力非一般 IT 系統管理員能及,這是個隱憂。因為管理員無法回答安裝設定,各種帳號權限、功能需求、追蹤所得資料的意義、程式碼品質…

看來,幾個可以主動阻斷高權限語法傳遞到 DB 伺服器的資安產品真的有賣點,但若這些產品誤判,是否它本身就發揮了病毒的功能…

DBA 參與開發都屬於安全的一環了

 

附上 Winnie 對這個案子的看法 ^^

  • 資料庫涉及的問題真的很廣泛
  • 如果知道資料庫安全性運作的原理及管理就可以了解有什麼可能的途徑會造成今天的事件,方便之門一但打開了,小偷也會一起進來。所以DBA在日常也要扮演安全的守門員。
  • 還有…虛擬化在這個時候更彰顯了它的好處。因為網段裡的每一台電腦都要重灌,而且還要找到實體機暫時替代,可能一個月的工作都是在裝機吧。

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s

%d 位部落客按了讚: