首頁 > 軟體

SQL隱碼攻擊語意分析庫libinjection簡介

2023-03-29 06:02:51

SQL隱碼攻擊語意分析庫libinjection

什麼是libinjection

libinjection是一款用於防禦SQL隱碼攻擊的開源軟體庫。它是由C語言編寫的,可以嵌入到任何Web應用程式中,並可以較為準確地檢測和防止惡意SQL隱碼攻擊語句。libinjection採用了基於正規表示式的技術來識別和攔截SQL隱碼攻擊,同時其開放原始碼的特點也使得其具備了較高的可客製化性和擴充套件性。

libinjection是一個基於C語言的SQLi詞法解析分析器,它可以通過對不同語句進行詞法分析和語法分析來實現對SQL語句以及HTML語句的解析。

在此之前,市場上絕大多數的WAF都是基於正則匹配(Regex)的,很多的WAF(防火牆)以及NGWAF(下一代防火牆)出於效能方面的考慮,都會選擇使用這個庫來代替常規的正規表示式。

ModSecurity,它是Apache和nginx的流行WAF。ModSecurity捆綁了libinjection,mod_security從2.7.4版本開始就支援libinjection(dectectSQLi-v2.7.4、detectXSS-v2.8.0)。

libinjection和正規表示式

libinjection和正規表示式都是非常有效的防禦SQL隱碼攻擊的技術,但兩者之間有一些差異和優劣。

libinjection
libinjection是一個專門用於檢測SQL隱碼攻擊的庫,其使用了一個基於機器學習的演演算法來分析請求中的SQL語句。與正規表示式相比,它有以下優點:

  • 更準確:libinjection使用機器學習演演算法分析SQL語句,因此可以更準確地檢測SQL隱碼攻擊,同時減少誤報率。
  • 更容易維護:libinjection的規則庫相對較小,易於維護。
  • 更快:libinjection的效能要比正規表示式好,響應時間更短。

正規表示式
正規表示式是一種常見的用於檢測和防禦各種Web應用程式攻擊(包括SQL隱碼攻擊)的技術。與libinjection相比,它有以下優點:

更通用:正規表示式不僅可用於檢測SQL隱碼攻擊,而且還可用於檢測其他型別的Web應用程式攻擊。更靈活:正規表示式可以使用各種模式和操作符,從而可以靈活地處理各種複雜情況。更可設定性:正規表示式的規則庫可以根據實際情況進行客製化和設定。

總體而言,libinjection可能比正規表示式更準確,更容易維護,並具有更快的效能,但正規表示式更通用,更靈活,具有更高的可設定性。因此,為了獲得最佳的安全效能,您可能需要考慮同時使用這兩種技術。

modsecurity 如何使用libinjection

下面是使用libinjection和ModSecurity進行SQL隱碼攻擊檢測和預防的步驟:

安裝ModSecurity
安裝並設定ModSecurity,使其可以與您的Web伺服器一起使用。

安裝libinjection
安裝libinjection並將其與ModSecurity整合。如果您使用的是Debian或Ubuntu,可以使用以下命令進行安裝:

sudo apt-get install libinjection-dev

在ModSecurity中使用libinjection
將ModSecurity設定為使用libinjection來檢測SQL隱碼攻擊。以下是一個範例ModSecurity規則,可用於檢測SQL隱碼攻擊:

SecRule ARGS "@detectSQLi" 
    "id:1,
    phase:2,
    t:none,
    t:lowercase,
    t:replaceComments,
    t:compressWhitespace,
    ctl:auditLogParts=+E,
    ctl:debugLogParts=+E,
    ctl:requestBodyProcessor=XML,
    ctl:ruleEngine=on,
    ctl:auditEngine=on,
    ctl:ruleRemoveByTag=abcd 
    ctl:ruleRemoveById=1 
    libinjection_check"

SecRule &TX:INJECTION @eq 1 
    "id:2,
    phase:2,
    t:none,
    ctl:auditLogParts=+E,
    ctl:debugLogParts=+E,
    ctl:requestBodyProcessor=XML,
    ctl:ruleEngine=on,
    ctl:auditEngine=On,
    ctl:ruleRemoveByTag=abcd 
    ctl:ruleRemoveById=2 
    block"

這個規則中包含了兩個SecRule。第一個將對輸入請求進行規範化和過濾,然後使用libinjection檢測SQL隱碼攻擊。第二個SecRule將根據檢測結果來做出相應的動作,例如阻止存取請求或將其記錄在紀錄檔中。

ModSecurity只用了libinjection防禦sql注入嗎?

ModSecurity不僅使用了libinjection,還使用了正規表示式等多種技術來進行SQL隱碼攻擊防禦。實際上,在ModSecurity中使用正規表示式是非常常見的一種方法,因為這種方法可以用於檢測和阻止各種型別的Web應用程式攻擊,包括SQL隱碼攻擊。

以下是一個範例ModSecurity規則,使用正規表示式檢測SQL隱碼攻擊:

SecRule ARGS "@detectSQLi" 
    "id:1,
    phase:2,
    t:none,
    t:lowercase,
    t:replaceComments,
    t:compressWhitespace,
    ctl:auditLogParts=+E,
    ctl:debugLogParts=+E,
    ctl:requestBodyProcessor=XML,
    ctl:ruleEngine=on,
    ctl:auditEngine=on,
    ctl:ruleRemoveByTag=abcd 
    ctl:ruleRemoveById=1 
    libinjection_check"

SecRule &TX:INJECTION @eq 1 
    "id:2,
    phase:2,
    t:none,
    ctl:auditLogParts=+E,
    ctl:debugLogParts=+E,
    ctl:requestBodyProcessor=XML,
    ctl:ruleEngine=on,
    ctl:auditEngine=On,
    ctl:ruleRemoveByTag=abcd 
    ctl:ruleRemoveById=2 
    block"

雖然語意分析引擎能夠更準確地識別和阻止惡意流量,但是正規表示式仍然是一種非常重要的檢測方式,可以用來完成一些特定的任務。

例如,對於某些規則化的資料格式,如郵件地址、電話號碼和身份證號碼等,使用正規表示式可以快速、準確地進行匹配判斷。此外,正規表示式還可以用來檢測各種型別的注入攻擊(如SQL隱碼攻擊和XSS攻擊)等漏洞利用行為。

因此,在實際的安全防禦中,WAF通常會同時採用多種技術手段,包括語意分析引擎和正規表示式等,以提高其檢測能力,並最大程度地保護Web應用程式免受攻擊威脅。

WAF研發領域,語意分析相對於正規表示式先進性的研究

多年以來,WAF對攻擊的檢測,通常使用正規表示式,典型的如ModSecurity。作為老牌的WAF,其擁有龐大的正則規則庫。其檢測率高,但也正因為規則數量龐大,正則逐一匹配,此過程速度慢,效能低。

對於同步檢測的WAF產品,部署並對網站提供防護後,會帶來不小的存取效能影響。

新興的WAF產品,漸有使用語意分析引擎取代正規表示式檢測。
其優勢究竟何在,效能又能提升多少?

WAF研發領域,語意分析相對於正規表示式先進性的研究
直接檢視原文連結: https://www.toutiao.com/article/6944906084217799207/

libinjection架構和使用

官方使用範例

#include <stdio.h>
#include <string.h>
#include "libinjection.h"

int main(int argc, const char* argv[])
{
    char fingerprint[8];
    const char* input;
    size_t slen;
    int issqli;

    if (argc < 2) {
        fprintf(stderr, "Usage: %s inputstringn", argv[0]);
        return -1;
    }

    input = argv[1];
    slen = strlen(input);


    issqli = libinjection_sqli(input, slen, fingerprint);
    if (issqli) {
        printf("sqli with fingerprint of '%s'n", fingerprint);
    } else {
        printf("not sqlin");
    }


    return issqli;
}

具體的檢查sql注入實現為 libinjection_is_sqli

int libinjection_is_sqli(struct libinjection_sqli_state * sql_state)
{
    const char *s = sql_state->s;
    size_t slen = sql_state->slen;

    /*
     * no input? not SQLi
     */
    if (slen == 0) {
        return FALSE;
    }

    /*
     * test input "as-is"
     */
    libinjection_sqli_fingerprint(sql_state, FLAG_QUOTE_NONE | FLAG_SQL_ANSI);
    if (sql_state->lookup(sql_state, LOOKUP_FINGERPRINT,
                          sql_state->fingerprint, strlen(sql_state->fingerprint))) {
        return TRUE;
    } else if (reparse_as_mysql(sql_state)) {
        libinjection_sqli_fingerprint(sql_state, FLAG_QUOTE_NONE | FLAG_SQL_MYSQL);
        if (sql_state->lookup(sql_state, LOOKUP_FINGERPRINT,
                              sql_state->fingerprint, strlen(sql_state->fingerprint))) {
            return TRUE;
        }
    }

    /*
     * if input has a single_quote, then
     * test as if input was actually '
     * example: if input if "1' = 1", then pretend it's
     *   "'1' = 1"
     * Porting Notes: example the same as doing
     *   is_string_sqli(sql_state, "'" + s, slen+1, NULL, fn, arg)
     *
     */
    if (memchr(s, CHAR_SINGLE, slen)) {
        libinjection_sqli_fingerprint(sql_state, FLAG_QUOTE_SINGLE | FLAG_SQL_ANSI);
        if (sql_state->lookup(sql_state, LOOKUP_FINGERPRINT,
                              sql_state->fingerprint, strlen(sql_state->fingerprint))) {
            return TRUE;
        } else if (reparse_as_mysql(sql_state)) {
            libinjection_sqli_fingerprint(sql_state, FLAG_QUOTE_SINGLE | FLAG_SQL_MYSQL);
            if (sql_state->lookup(sql_state, LOOKUP_FINGERPRINT,
                                  sql_state->fingerprint, strlen(sql_state->fingerprint))) {
                return TRUE;
            }
        }
    }

    /*
     * same as above but with a double-quote "
     */
    if (memchr(s, CHAR_DOUBLE, slen)) {
        libinjection_sqli_fingerprint(sql_state, FLAG_QUOTE_DOUBLE | FLAG_SQL_MYSQL);
        if (sql_state->lookup(sql_state, LOOKUP_FINGERPRINT,
                              sql_state->fingerprint, strlen(sql_state->fingerprint))) {
            return TRUE;
        }
    }

    /*
     * Hurray, input is not SQLi
     */
    return FALSE;
}

這段程式碼是用於檢測 SQL 注入攻擊的,通過呼叫 libinjection 庫對輸入的 SQL 查詢語句進行指紋識別,並判斷是否存在於已知的 SQL 注入指紋庫中。

  • 首先獲取輸入字串 s 和其長度 slen。如果輸入字串長度為0,則直接返回 FALSE,不需要進行檢測。
  • 接著,對輸入的 SQL 查詢語句進行指紋識別,並標記 FLAG_QUOTE_NONE 和 FLAG_SQL_ANSI 標誌位。然後通過 sql_state->lookup 函數查詢該指紋是否已經存在於資料庫中,如果存在則返回 TRUE。

“test input as-is” 的意思是對輸入的 SQL 語句進行原樣測試,即不進行任何跳脫或處理。這相當於將輸入的 SQL 語句作為一個整體進行指紋識別,並標記 FLAG_QUOTE_NONE 和 FLAG_SQL_ANSI 標誌位,在已知的 SQL 注入指紋庫中查詢是否存在相同的指紋。如果存在,則說明該輸入可能是 SQL 注入攻擊,否則繼續進行其他檢測。通常情況下,如果輸入字串包含單引號或雙引號字元或者 SQL 關鍵字,就需要進行進一步的檢測和處理。

  • 如果該指紋不存在於資料庫中,則嘗試將查詢語句解析為 MySQL 語法,通過 reparse_as_mysql 函數進行轉換。如果轉換成功,則再次呼叫 libinjection_sqli_fingerprint 函數對轉換後的 SQL 查詢語句進行指紋識別,並標記 FLAG_QUOTE_NONE 和 FLAG_SQL_MYSQL 標誌位。最後再次通過 sql_state->lookup 函數查詢該指紋是否存在於資料庫中,如果存在則返回 TRUE。
  • 接下來,如果輸入的字串中包含單引號字元,則呼叫 libinjection_sqli_fingerprint 函數對 SQL 查詢語句進行指紋識別,並標記 FLAG_QUOTE_SINGLE 和 FLAG_SQL_ANSI 標誌位。然後通過 sql_state->lookup 函數查詢該指紋是否已經存在於資料庫中,如果存在則返回 TRUE。
  • 如果該指紋不存在於資料庫中,則嘗試將查詢語句解析為 MySQL 語法,通過 reparse_as_mysql 函數進行轉換。如果轉換成功,則再次呼叫 libinjection_sqli_fingerprint 函數對轉換後的 SQL 查詢語句進行指紋識別,並標記 FLAG_QUOTE_SINGLE 和 FLAG_SQL_MYSQL 標誌位。最後再次通過 sql_state->lookup 函數查詢該指紋是否存在於資料庫中,如果存在則返回 TRUE。
  • 最後,如果輸入的字串中包含雙引號字元,則呼叫 libinjection_sqli_fingerprint 函數對 SQL 查詢語句進行指紋識別,並標記 FLAG_QUOTE_DOUBLE 和 FLAG_SQL_MYSQL 標誌位。然後通過 sql_state->lookup 函數查詢該指紋是否已經存在於資料庫中,如果存在則返回 TRUE。
  • 如果輸入字串沒有被識別為 SQL 注入攻擊,則最後返回 FALSE。

總結,這段程式碼是用於檢測 SQL 注入攻擊,通過指紋識別技術來進行檢測和防禦。同時支援 ANSI SQL 和 MySQL 兩種語法,並能夠檢測包含單引號和雙引號字元以及 SQL 關鍵字的字串。

例如,輸入常用的SQL隱碼攻擊的檢測語句 :’ and 1=1
libinjection會將其轉換為s&1,其中單引號依據定義被轉換為s,and被轉換為&,數位被轉換為1。

libinjection在轉換完後,通過二分查詢演演算法對內建的特徵進行匹配,匹配到則將SQL隱碼攻擊識別特徵複製進fingerprint變數並返回。

轉換 搜尋鍵碼: sql_keywords ,在檔案libinjection_sqli_data.h 中~!

在libinjection中,將SQL關鍵字轉換為單個字母時使用的字元集通常是a-z或A-Z。這意味著只有26個不同的字母可以用來表示所有的SQL關鍵字。

為了解決這個問題**,libinjection使用了一些技巧來擴充套件字母表的大小。其中一個技巧是引入數位字尾。例如,對於兩個關鍵字SELECT和SET,它們都會被轉換為字母s。為了避免衝突,第二個關鍵字SET會被轉換為字母s2。**

另一個技巧是使用大寫字母表示特殊的關鍵字。例如,LIMIT和OFFSET是MySQL和PostgreSQL中常用的關鍵字,它們被分別對映為L和O。這樣做的好處是,即使一個關鍵字被對映為小寫字母,仍然可以通過使用大寫字母來表示其他特殊關鍵字,以避免衝突。

需要注意的是,雖然僅有26個字母可以用來表示所有的SQL關鍵字,但由於上面提到的技巧,libinjection能夠支援更多的關鍵字,並確保每個關鍵字都使用唯一的單個字母來表示。

參考文獻

【技術分享】如何繞過WAF/NGWAF的libinjection實現SQL隱碼攻擊
參考URL: http://www.52bug.cn/hkjs/3025.html
SQL隱碼攻擊與libinjection分析(1)SQL隱碼攻擊
參考URL: https://blog.csdn.net/lqy971966/article/details/105269658

到此這篇關於SQL隱碼攻擊語意分析庫libinjection的文章就介紹到這了,更多相關SQL隱碼攻擊語意分析庫內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com!


IT145.com E-mail:sddin#qq.com