1、攻击原理

漏洞成因可以归结为以下两个原因叠加造成的：1）程序编写者在处理应用程序和数据库交互时，使用字符串拼接的方式构造SQL语句；2）未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。

2、危害影响

1、攻击者可能利用SQL注入漏洞篡改网页数据，窃取用户数据，植入WebShell，甚至可能获取业务系统服务器账号权限等。

3、防御方法

1.使用参数检查的方式，拦截带有SQL语法的参数传入应用程序

2.使用预编译的处理方式处理拼接了用户参数的SQL语句（推荐！）

3.在参数即将进入数据库执行之前，对SQL语句的语义进行完整性检查，确认语义没有发生变化

4.在出现SQL注入漏洞时，要在出现问题的参数拼接进SQL语句前进行过滤或者校验，不要依赖程序最开始处防护代码

4、研判思路

1、判断是否为规则误报

 1）基于漏洞特征检测：查看是否在请求中包含明文或转义/转码后的数据库执行语句，比如：select、where等

 2）排除业务导致的误报：需要排除部分业务系统不规范导致的误报情况，比如：业务请求中包含select等字段时的误报

2、判断是否为恶意行为

 1）需要确认是否为分析和研究人员的测试行为；

 2）需要排除是否为内网已授权漏洞扫描器的扫描行为

3、判断是否攻击成功

 1）如果来源IP为内网，则说明内网已存在失陷服务器，可以认为攻击成功，该告警的处置优先级高；

 2）如果来源IP为外网，返回值中包含攻击者已执行成功/获取到有效信息，则认为是攻击成功。

5、应急响应-事中处置

1、已失陷主机

 1）隔离和处置失陷机器：及时联系机器负责人，对感染的机器采取断网操作，并且修改相关账户的口令，下载杀毒软件或者专杀软件进行清除；

 2）内部通告和培训：及时进行内部通告和培训，增强企业员工安全意识，对不明邮件附件和不明站点可疑连接谨慎点击访问，从正规渠道下载程序，不安装来自不明来源的应用程序；

 3）端口限制：根据业务情况，在不影响的情况下可选择在安全策略中限制如下端口，3306（MYSQL）、1521（ORACLE）、1433（SQL SERVER）、5432（PG）、6379（REDIS）、9200（ES）

 4）漏洞修补：对存在漏洞的主机进行安全漏洞修复，及时对设备系统进行安全更新和应用安全补丁更新

2、已失陷账户

 1）修改密码：建议采用数字、符号及大小写字母混合的方式，设置8位以上的密码；

 2）账户封禁

 3）账户权限收回

3、外部攻击遏制

 1）封禁IP：在防火墙上配置IP黑名单，封堵攻击源主机

6、应急响应-事后加固

 1）更新网络安全管理措施：根据该事件中暴露的问题，针对性修订完善网络安全管理制度，做好攻击预警和处置，同时对攻击事件进行复盘，并更新网络安全突发事件应急预案；

 2）加强网络安全隐患修补：在消除该事件攻击影响的情况下，开展网络安全隐患排查和修补。例如，在权限管理方面，重点排查弱口令、账户权限、口令更新和共用等问题；在漏洞修补方面，及时更新系统、软件、硬件等漏洞补丁；

 3）自动化封禁：使用SOAR或其他自动化手段将此类告警外网源IP在第一时间进行边界防火墙的封禁；

 4）保持网络安全设备特征库更新：日常运维过程中需要保持特征库为最新版本