关于近日大规模 SQL Injection 攻击说明

发布尔日期: 2008年5月23日

作者：台湾微软技术支持处

APGC安全技术支持团队在过去的几周中接到了多个利用SQLInjection (数据隐码)攻击并导致使用者被植入恶意软件的案例。有鉴于这些攻击的影响以及愈发扩大的爆发规模，安全技术支持团队以安全警报的形式发布信息。请将这些信息分享给客户以及合作伙伴，提高对目前在网站攻击事件上的警惕。

本页内容

迹象

根据5月19号的估测，中国大陆，香港，台湾的12万网站受到了SQL注入攻击。

在大中华地区，包括许多公共网站，包括政府，教育部门，非政府组织的慈善机构，以及私人企业都遭受到SQLInjection攻击，若干包含恶意代码 ＜scrīpt＞ 被加入到网站的数据库中，当用户访问这些网站时，浏览器会被指向包含恶意代码的网站，此时用户计算机系统内的防病毒软件可能会警示。如果用户计算机系统存在可利用的安全漏洞，同时亦未安装有效的防病毒软件，攻击者可能在用户计算机上执行更多的恶意软件，进而导致用户计算机被控制。

回到页首

背景

首次攻击是在2008年1月发现的，这5个月里，在我们的监控下，发现此次爆发并不是第一起SQL注入攻击。在过去的4个月中，最少已有3次大规模攻击：

1月初，包括知名防病毒软件厂商在内的网站，受到了SQL注入攻击(>1,000页/天)

3月中旬，包括知名防病毒软件厂商在内的网站，受到了SQL注入攻击(>1,0000页/天)

4月中旬，包括欧洲某政府及国际组织的网站都受到了SQL注入攻击(> 1,0000页/天)

回到页首

SQLInjection (资料隐码)攻击行为简介

以下是此类攻击的流程

回到页首

SQLInjection (资料隐码)攻击行为的解决方案

一旦web服务器遭到SQL注入攻击，请遵循如下步骤：

注意这只是一种变通的解决方法，只能临时解决SQLInjection问题。该网站可能在服务器再次联网后被再次注入。为了彻底解决这个问题，请参阅"预防SQLInjection (资料隐码)攻击的解决方案"。

回到页首

预防SQL注入攻击的解决方案

这种SQLInjection攻击是由网页程序开发不符合安全编码的要求所引起的。为了防止攻击，我们需要验证所有网页的字符串输入的函数。比如说，带有用户名和密码输入框的网站登录页。我们也可以在微软的官方网站上找到安全指导和最佳实践建议，来应对SQLInjection (数据隐码)攻击。

用来减缓与解决SQLInjection攻击的最佳实践建议可以在这里找到：http://msdn2.microsoft.com/en-us/magazine/cc163917.aspx

SQL资料隐码：http://msdn.microsoft.com/zh-tw/library/ms161953.aspx

『数据隐码』SQLInjection的源由与防范之道：http://www.microsoft.com/taiwan/sql/SQL_Injection.htm

SQLInjection (资料隐码)–黑客的SQL填空游戏(上)：http://www.microsoft.com/taiwan/sql/SQL_Injection_G1.htm

SQLInjection (资料隐码)–黑客的SQL填空游戏(下)：http://www.microsoft.com/taiwan/sql/SQL_Injection_G2.htm

How To - Protect from Injection Attacks in ASP.NET：http://msdn.microsoft.com/en-us/library/bb355989.aspx

How To - Protect fromSQLInjection in ASP.NET：http://msdn.microsoft.com/en-us/library/ms998271.aspx

How To - Protect from Cross-Site scrīpting in ASP.NET：http://msdn.microsoft.com/en-us/library/ms998274.aspx

Design Guidelines：http://msdn.microsoft.com/en-us/library/aa302420.aspx

Arch/Design Inspection：http://msdn.microsoft.com/en-us/library/aa302421.aspx

对于客户端用户，请确保计算机系统中已安装了微软及第三方软件的最新安全修正程序以及最新的防病毒程序定义档。

(注意，大部分的攻击事件由第三方软件的漏洞造成，而并非利用微软产品新漏洞)。