我应该如何检测和响应执行SQL注入的不良参与者？

Question

SQL有一个名为威胁检测的逻辑组件。我认为它寻找的是SQL注入，但也有像sp_exec这样的危险命令的证据。

我想扩大这一范围，并检查以下方面的用户流量为SQL注入，以及其他黑客类型的行为.

• HTTP GET/POST (或其他动词)
• 客户端标头(将出现在日志管理解决方案中)
• 我的网站没有发送曲奇

假设上面的内容触发了警报，那么最合适的响应是什么：

• 阻止IP入口
• 重新验证用户
• 封锁帐户
• 标志会议？

哪类安全工具适合于这种类型的活动(在云中)，我在哪里可以更多地了解处理不同响应/缓解技术的智能方法？

Answer 1

正确的方法是拒绝请求(在启动任何应用程序代码/ SQL查询之前失败请求)，并将具有完整调试信息的事件记录到数据库中，为其分配编号并输出到屏幕上的号码。

这不应该是与操作数据库相同的数据库，它应该是通常存储操作日志的服务数据库。

如果是API调用，则将此数字显示在错误消息框中。这是为了处理一次假阳性，其次是处理成功的注射尝试。

但是，您不能阻止每次传递"select 1;“参数，因为始终可以传递"select 1”；在到达应用程序代码之前，应该阻止这样的请求。此外，这最好在专用的“层”上实现，在该层中，对请求进行解码，并检查此类内容，就像mod_security所做的那样。

无法阻止用户并将其注销，因为这将产生太大的影响，它也位于错误的层--它是应用程序代码层，而不是专用的安全层。