侯 鵬

(貴州大學 科技學院，貴州 惠水 550600)

1 關于攻擊直接目的SQL注入攻擊樹模型分類

根據(jù)現(xiàn)有相關文獻資料，筆者對目前關于SQL注入攻擊的研究進行總結(jié)，可分為Tautology(重言式攻擊)、Union Queries(聯(lián)合查詢)、Piggybacked Queries(多命令語句攻擊)、Malformed Queries(異常命令語句攻擊)、Inference(推斷攻擊)、Altemate Encodings(攻擊輸入編碼偽裝)、Leveraging Stored Procedures(存儲過程攻擊)七大類[1]。

基于以上分類，本文對目前SQL注入攻擊行為進行系統(tǒng)分析之后，按SQL注入攻擊的直接目的，可分惡意運行命令、竊取系統(tǒng)信息、繞過認證三大類。其進行簡化意義是使攻擊樹模型更加完善、精練、緊湊。在這基礎上，一般攻擊者與攻擊者的目的對應比較詳見表1。

我們把SQL注入攻擊直接目的作為參考依據(jù)，再通過對SQL注入攻擊方式進行系統(tǒng)了解，從而能夠抽象地對攻擊模型進行設計，詳見圖1所示。

表1 一般攻擊者目的與攻擊者直接目的的對應

從圖1 SQL注入攻擊模型可知對Web應用安全漏洞攻擊建模，至少從攻擊措施、目的與流程三個方面去構(gòu)建模型。本文重點所論述的模型從攻擊直接目的角度把SQL注入攻擊分為三大類，分別是注入運行惡意命令、繞過論證與竊取系統(tǒng)信息。然后在模型中自下朝上分別描述實現(xiàn)此三類攻擊目的方法。比如對于繞過認證攻擊的目的，是通過重言式攻擊或注入導常字符等方法來實現(xiàn)的。而竊取系統(tǒng)信息的攻擊目的，是通過錯誤信息利用SQL注入攻擊方法與盲注入來實現(xiàn)的[1]。

如圖1 所示，本文所構(gòu)建的攻擊樹模型把SQL注入攻擊主要分成繞過認證、錯誤信息利用、盲注入、以及注入運行SQL命令與非SQL命令等幾大類。與SQL所論述的SQL注入攻擊類型所對應關系如表2.圖1中所構(gòu)建模型能夠?qū)δ壳案鞣N類型的SQL注入攻擊比較全面的描述，而且此模型的描述不僅僅是對目標系統(tǒng)的具體攻擊步驟，或者是細致化攻擊程序語句格式。此種描述方式，對于支持將具體樣式與攻擊輸入代碼符號進行分離非常有利，便于對原本沒有序的SQL注入攻擊輸入集合，改變成有序的形式化符號。圖1的模型是較為抽象的建模，有很強的穩(wěn)定性。

圖1 基于攻擊直接目的的SQL注入攻擊樹模型

表2 一般SQL注入攻擊分類與本文所提出的攻擊樹模型對應

從攻擊目的構(gòu)建SQL注入攻擊樹模型，是為指導形成優(yōu)化滲透測試用例打基礎。圖1模型重點對SQL注入攻擊輸入規(guī)律進行詳細描述，所以可依據(jù)其生成有規(guī)律的SQL用例輸入，不過它對于SQL漏洞反應規(guī)律與注入攻擊位置規(guī)律還沒有作具體描述。在圖1 中對SQL注入攻擊模型中在漏洞反應與攻擊位置方面信息進一步完善會導致攻擊樹模型有太多無用分支，并且會使描述得不到統(tǒng)一。原因是因為攻擊樹模型的特點及其概念的不足，而使得分節(jié)點沒有能力阻止產(chǎn)生無用和重復的分支，這就給實際SQL攻擊錄入有關規(guī)則的劃分帶來非常不利的因素。同時還有攻擊樹模型自身的一些不足，比如節(jié)點既可以表示攻擊者發(fā)動攻擊行為，又可以代表攻擊者進行攻擊最后結(jié)果，這樣行為與結(jié)果不分，極易產(chǎn)生混亂的現(xiàn)象[2]。

2 SGM建模

.SGM是安全目的模型英文單詞第一個字母的集合，英文名全稱為Security Goal Model，是新模型方法。重點對攻擊、漏洞的特點等方面進行描述，其最明顯的特征就是表現(xiàn)能力強[3]。安全目的模型能夠與4類模型工具一樣應用，還能與別的建模工具進行轉(zhuǎn)換。SGM建模規(guī)則如表3。

表3SGM建模規(guī)則表

在SGM中，根節(jié)點表示可通過各子目的元素實現(xiàn)而達到總目的。一個SGM中，僅有一個根節(jié)點。Subgoal(子目的)表示一個有助于實現(xiàn)或不利于實現(xiàn)模型總目的中的局部目的，一個SGM能夠包括N個子目的。模型中的操作符包括OR表示“或”，與AND表示“和”兩種子目的之間可實現(xiàn)關系。SGM的dependence edge(依賴邊)表示子目的之間OR或AND的相互關系非常密切(相互依存)。一條依賴邊(從A指向B)是指根節(jié)點，該節(jié)點的功能是對該模型所描述的總目的實現(xiàn)，子目的A和B應該依次實現(xiàn)。SGM還應具有對子目的之間的信息交流能力進行描述?？梢酝ㄟ^information edge(信息邊)對子目的之間傳遞信息情況進行描述[24]。通過information port(信息節(jié)點)對子目的內(nèi)部向外發(fā)送接收信息的接口狀況進行表述。在SGM中信息邊并不是一定需要的，比如當SGM在對安全漏洞規(guī)律等方面進行描述時，信息邊就可當作不存在。

3 SGM建模與攻擊樹比較的優(yōu)勢

與攻擊樹相比較而言，安全目的模型主要優(yōu)勢表現(xiàn)在：表達能力較強，但規(guī)模不大；表達簡潔，但并不繁冗[5]。比如以篡改軟件攻擊建模作為案例進行分析，倘若采取攻擊樹作為建模工具，那么得到相應的攻擊樹詳見圖2。采用安全目的模型建模就能夠描述成圖3。

從圖2 與圖3相比較可知，安全目的模型的優(yōu)勢是可以實現(xiàn)模型相關節(jié)點共享，不會像攻擊樹模型那樣要重復列出相同的節(jié)點步驟。所以模型就會更加簡單化，除此之外，安全目的模型具有更強表述能力。該模型中能夠體現(xiàn)更多的相關信息，而且還有非常好的表述性。

本文分析了從安全目的模型構(gòu)建SQL注入攻擊模型如圖4，模型從攻擊直接目的的方面對SQL注入攻擊規(guī)律進行表述。

圖2 篡改軟件攻擊的攻擊樹模型

圖3 篡改軟件攻擊的安全目的模型圖

圖4 SQL注入攻擊安全目的模型圖

安全行為是以SGM描述角度為目的，是基于前文分析的攻擊者直接攻擊目的對SQL注入攻擊進行建模圖。圖4中模型根節(jié)點是對SQL注入攻擊的總目的實現(xiàn)，從下到上進行表述，依據(jù)攻擊最直接的目的，把攻擊分成注入運行惡意命令、繞過論證與竊取系統(tǒng)信息。模型向上分別對該三類子目的攻擊進行表述，比如注入條件式或注入執(zhí)行命令的子目的，注入運行SQL命令需要查找Web應用注入點。

圖5 SQL注入攻擊中“竊取系統(tǒng)信息”安全目的模型

在圖4 對SQL注入規(guī)律總的描述基礎上，對圖4 中“竊取系統(tǒng)信息”子目的具體化做進一步展開描述構(gòu)模如圖5。在圖1 攻擊樹模型中，盲注入與錯誤信息二類攻擊形式均屬于竊取系統(tǒng)信息攻擊，從安全目的模型描述，把竊取系統(tǒng)信息建模分為圖5兩個子模型：即(A)盲目注入攻擊子目的模型，(B)錯誤信息使用攻擊子目的模型。在使用此模型過程中，此模型上端對為實現(xiàn)此攻擊目標進行錄入描述；注入不可執(zhí)行命令子目的或者是異常字符。該模型中間白色方框部分是對Web應用存在SQL注入漏洞時對攻擊輸入的漏洞反應進行描述：Web在該模型中的運用，就是使有價值錯誤信息及時傳送回來；黑框就是代表Web應用防患策略，對SQL 注入攻擊的防御措施，給實施成功的攻擊帶來不便，因此通過反作用節(jié)點進行表述。而在盲注入子模型中，實現(xiàn)此種攻擊目的需要攻擊錄入，通過模型上端進行表述。注入時間推斷命令或者注入不等式且注入恒等式，分別實現(xiàn)模型中間部分白框的表述Web應用對兩個等式不同(即恒等式與不等式)，以及能夠體現(xiàn)時間變動的子目的。它們分別對應的是完成的SQL注入條件預測攻擊與時間推測攻擊所表現(xiàn)的特點。同模的黑色方框表示W(wǎng)eb應用防御策略，即防御策略對SQL注入與盲注入攻擊子目的不容易成功[4]。

依照同樣的方法，對圖4 中“注入運行惡意命令”按照預先設定的流程進行建模處理，以描述該子目的細節(jié)。結(jié)合圖6 中所提供相關信息，對該子目的進一步劃分為(A)、(B)兩個模型。將注入攻擊模式分別于模型上端進行如下描述：當恒等式或者可執(zhí)行命令被注入后，模型白色方框提示注入成功。同樣的，存儲過程攻擊子模型也同樣將攻擊輸入描述與子模型上端，并將攻擊成功的所有特征通過白色方框加以描述。而在防御措施的描述方面，這兩個模型均采用中間黑色方框為代表。

圖6 SQL注入攻擊中的“注入運行惡意命令”安全目的模型

把圖4 中“繞過論證”攻擊子目的再詳細描述如圖7。此模型上端是注入干擾異常字符或者注入恒等式(對攻擊輸入進行了具體描述)，中間白方框為成功的攻擊特點——經(jīng)過Web運用的認證機制，模型中間的黑框為Web運用防御策略。

圖7 SQL注入攻擊中的“繞過認證”安全目的模型

下面從圖4 至圖7 中的各子模型中尋找Web運用注入點子目的作更進一步的建立模型。

本文主要是對SQL注入用例的優(yōu)化方面問題進行分析，所以把兩大輸入點當作被測試的對象，該兩大輸入點分別是Web運用中登陸認證表單與所含的參數(shù)，并以此為立足點，尋找使用注入點子目的構(gòu)建模型如圖8。

圖8 SQL注入攻擊中“查找Web應用注入點” 安全目的模型

在圖5至圖8中的模型是對圖4具體展開的描述。把圖4模型中所對應的子目的展開為數(shù)個子模型，另 一方面在該模型中還對SQL注入攻擊漏洞反應規(guī)律與位置信息等方面進行具體描述。這樣就詳細反應了SGM的優(yōu)勢?？梢詫δＰ蜕系墓?jié)點能夠做進一步分層描述，同時還能對其所支持的反應做了詮釋。圖4至圖6中各模型中自上而下每條不帶有反作用目的節(jié)點的路徑表示一類攻擊子目的過程。對攻擊輸入通過上端進行描述，Web對攻擊輸入漏洞反應是通過中部子目的節(jié)點進行描述。模型中的反作用節(jié)點是代表攻擊遭受Web運用防御攔截所導至失敗攻擊路徑。

立足于表3中的攻擊樹模型，對SGM進一步建立了新的SQL注入攻擊模型，較之與普通的攻擊樹建模，本文建立新的SQL注入攻擊模型，其優(yōu)勢主要表現(xiàn)在以下幾方面：

(1)主張子目的展開分層論述。該項特點具有多方面優(yōu)點，一方面能夠使模型根據(jù)現(xiàn)實情況對攻擊規(guī)律進行描述；另一方面能夠?qū)粢?guī)律細節(jié)進行具體化展開，詳見圖5至圖8。

(2)使模型表述上的冗余減少，而且還非常有利于使描述信息上的一致性得到保障。如圖4中的安全目的模型構(gòu)建，就不必把相同內(nèi)容在各分支上反復出現(xiàn)，也使模型上分支重復減少。

(3)安全目的模型對SQL注入攻擊漏洞具體表述進行支持，依據(jù)其能夠形成較為準確的SQL注入輸出，有利于健全對SQL注入用例建模信息，當前相關研究提出的攻擊樹并沒有考慮到較為明確表述攻擊效果，SQL注入漏洞反應特點方面信息描述，所以難以充分指導生成包含預期輸出信息的SQL注入用例集合[5]。

(4)安全目的模型的SQL注入攻擊模型可以通過對子目的節(jié)點展開表述，表達SQL注入攻擊輸入之間分類信息。