MysqlIds

MysqlIds是一款監聽設備,中文意思是“入侵檢測系統”,編寫時間 2008年。使用MysqlIds可以更好的、更有效率的幫助網站管理員和程式設計師抵禦和檢測Sql注射漏洞,國內知名CMS系統DEDECMS也是使用此程式。

基本介紹

  • 中文名:入侵檢測系統
  • 外文名:MysqlIds
  • 編寫組織:web安全研究組織80SEC
  • 編寫時間:2008年
  • 類型:監聽設備
MysqlIds
IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統”。傳統的IDS是一個監聽設備,這個設備通過網路鏈路掛接在伺服器和客戶端所有流量都必須流經的鏈路上,IDS就是通過特有IDS規則匹配黑客惡意攻擊入侵行為的流量,進行即時的監測和報警。
MysqlIds是由在國內安全界很著名的web安全研究組織80SEC在2008年編寫。
使用MysqlIds可以更好的、更有效率的幫助網站管理員和程式設計師抵禦和檢測Sql注射漏洞,國內知名CMS系統DEDECMS也是使用此程式。
MysqlIds原理
MysqlIds 由PHP編寫,通過一個封裝的安全函式,監測程式中運行的SQL查詢語句,針對黑客經常使用的union查詢、select子查詢、不常用的SQL注釋符、檔案操作和 benchmark等危險函式行為進行報警。
這個IDS是無縫封裝在程式里的資料庫操作流程里的,也就是黑客通過程式漏洞進行惡意的SQL注射都能被非常詳細的監測到。
程式設計師或者網站站長甚至能使用IDS發現自己網站程式中未被察覺的0day漏洞。
Mysqlids的檢測工作使用PHP實現,相對於 SQL語句來說消耗的時間非常小,合理地部署Mysqlids可以極大地提高程式的安全性。
MysqlIds日誌
當程式的SQL語句被監測到惡意行為後,會打開相應條件語句里的fail開關,也就是觸發監測後根據信息會留下一條精確的日誌信息。管理員排查日誌就能精確定位程式中的SQL注射漏洞。
MysqlIds使用了PHP中strpos函式來判斷程式執行的SQL語句是否存在惡意的SQL注射,這個函式可以高效率的查找指定字元串返回一個布爾值,當程式執行SQL語句中使用聯合查詢,規則條件就開始生效,啟用preg_match函式調用IDS規則來匹配惡意的聯合查詢語句,這個IDS規則是精心構造的正則表達式,類似於大家使用的傳統IDS規則,由於MysqlIds是在程式的資料庫操作層來檢測,所有能抓取到有效且實實在在的安全問題,且更有效更具有針對性。MysqlIds還針對程式運行的SQL語句出現的異常情況進行了監控,如SQL語句中出現異常的注釋符,一般黑客進行SQL注射攻擊,很多情況下需要注釋符完成SQL注射攻擊的SQL語句,同時黑客還有可能使用一些比較危險的MYSQL函式和功能,如sleep、 benchmark、load_file和into outfile功能等,這些黑客在程式中使用SQL注射的惡意動作都能被MysqlIds監測到。
MysqlIds 安裝
MysqlIds暫時只支持PHP+MYSQL架構的Web程式,作為開源程式和其原理的靈活性,大家可以很方便將 MysqlIds和自己程式無縫結合。
我們可以將MysqlIds部署在程式中:\include\dedesql.class.php
用MYSQL資料庫類的ExecuteNoneQuery函式封裝MysqlIds,程式運行的SQL語句在進入MYSQL查詢之前都會使用MysqlIds的CheckSql函式處理。
if($this->safeCheck) CheckSql($this->queryString,’update’); return mysql_query($this->queryString,$this->linkID);
大家可以根據此案例自己選擇合適的添加位置以及相關函式。

相關詞條

熱門詞條

聯絡我們