用腳本類IDS抵御針對WEB的攻擊

IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統”。傳統的IDS是一個監聽設備，這個設備通過網絡鏈路掛接在億恩科技服務器和客戶端所有流量都必須流經的鏈路上，IDS就是通過特有IDS規則匹配黑客惡意攻擊入侵行為的流量，進行即時的監測和報警。

在歷年來開源的Web程序中，被披露最多最嚴重的安全（服務器租用找：51033397）漏洞一直是SQL注射，為了減少SQL注射漏洞對各大網站：（www.vbseamall.com）造成的安全（服務器租用找：51033397）威脅，Web安全（服務器租用找：51033397）研究組織80SEC在2008年編寫了國內第一個腳本類IDS - MysqlIds，使用MysqlIds可以更好的、更有效率的幫助網站：（www.vbseamall.com）管理員和程序員抵御和檢測SQL注射漏洞。

現在流行的技術大部分是旁路監聽，一般不會因為IDS的性能影響網站：（www.vbseamall.com）正常的訪問流量，而Mysqlids也是按照類似的思路同樣不會影響程序的性能。Mysqlids存在于應用程序和數據庫操作之間的一個環節，完全以數據庫的語法來分析執行的SQL語句，而不是采用傳統的關鍵字檢測的方法，對于一些非正常的SQL語句能進行阻止并且記錄相關的信息，這樣就可以很快地定位程序中存在注射漏洞的地方，為漏洞的及時修復提供必要的信息。

MysqlIds原理

MysqlIds是由PHP編寫的，通過一個封裝的安全（服務器租用找：51033397）函數，監測程序中運行的SQL查詢語句，針對黑客經常使用的union查詢、select子查詢、不常用的SQL注釋符、文件操作和benchmark等危險函數行為進行報警，這個IDS是無縫封裝在程序里的數據庫操作流程里的，也就是黑客通過程序漏洞進行惡意的SQL注射都能被非常詳細的監測到，程序員或者網站：（www.vbseamall.com）站長甚至能使用IDS發現自己網站：（www.vbseamall.com）程序中未被察覺的0DAY漏洞。下面我就分析MysqlIds的部分代碼，使大家可以從原理上更容易的理解MysqlIds，我們看看MysqlIds如何監測黑客SQL注入經常使用的惡意的聯合查詢。部分代碼如下：

if (strpos($clean, 'union') !== false && preg_match('~(^　[^a-z])union($　[^[a-z])~s', $clean) != 0){
$fail = true;
$error="union detect";
}

MysqlIds使用了PHP中strpos函數來判斷程序執行的SQL語句是否存在惡意的SQL注射，這個函數可以高效率的查找指定字符串返回一個布爾值，當程序執行SQL語句中使用聯合查詢，規則條件就開始生效，啟用preg_match函數調用IDS規則來匹配惡意的聯合查詢語句，這個IDS規則是精心構造的正則表達式，類似于大家使用的傳統IDS規則，由于MysqlIds是在程序的數據庫操作層來檢測，所有能抓取到有效且實實在在的安全（服務器租用找：51033397）問題，且更有效更具有針對性。MysqlIds還針對程序運行的SQL語句出現的異常情況進行了監控，如SQL語句中出現異常的注釋符，一般黑客進行SQL注射攻擊，很多情況下需要注釋符完成SQL注射攻擊的SQL語句，同時黑客還有可能使用一些比

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]