再回首：网络攻击机制和技术发展综述

所谓SQL代码嵌入(SQL injection)，是指攻击者在普通用户输入中插入数据库查询指令。这些问题相当多情况下是因为输入检验不严格和在错误的代码层中编码引起的，如对逗号”,”和分号”;”等。在这种情况下，攻击者可以对数据库进行查询、修改和删除等操作，在特定情况下，还可以执行系统指令。一般情况下，web网页上的用户名表单往往是这类攻击的入口。如果攻击者使用Proxy server执行这类操作，管理员将很难查到入侵者的来源。而要防止这类攻击，必须在自研软件开发程序上下手整治，形成良好的编程规范和代码检测机制，仅仅靠勤打补丁和安装防火墙是不够的。关于SQL Injection更多的详细信息，请参考：http://www.cnns.net/article/db/2412.htm

目前有一类新的Web应用程序防护产品，通过分析所有的Web连接，防止常见的应用层攻击和应用层的敏感数据泄露。如Sanctum开发的AppShield，KaVaDo的InterDo，Ubizen的DMZ/Shield，和SPI Dynamics的WebInspect。这些工具采用学习机制，被配置成为能理解正常的Web应用访问行为，在一个用户会话中，当异常的修改发生或者特殊字符输入出现时，这种攻击将截停非法修改并向管理员报告异常行为。

另一方面，一个由志愿者组成的开放源码组织开发了一个叫Open Web Application Security Project (OWASP)的项目，对web应用程序中普遍存在的脆弱性做了归类，并为建立web安全应用和服务提供详细指南。还有，OWASP正在开发一个基于java的”Web甲虫”(Web Scarab)，这是一个评估web应用安全的工具。

如果web程序开发者能理解其系统面临的威胁并且构建防御机制，系统安全性将得到高层次的防护。开发者用到的，发送到浏览器的敏感数据必须具有完整性保护机制，这可以通过MD5哈希(hash)函数或者时间戳数字签名技术来实现;还有,对用户输入必须进行细致的检查,过滤可能危及后台数据库的特殊字符、脚本语言和命令，包括逗号、引号、括号、星号、百分号、下划线和管道符等。这些字符检测机制是在web server实现，而不是在浏览器端实现，因为攻击者可以通过各种手段绕过客户端的安全机制。对于这些字符可以采用清除或者强制替换的方法避免它们威胁服务器的安全。

三、超隐秘”嗅探式”后门

后门对计算机系统安全的侵扰，其历史已达十年之久。通过后门，攻击能绕过正常的安全机制自如地访问系统资源。最近，这类攻击变得更加隐秘，更加难以察觉。这种新的攻击与传统的后门不同之出是，它将sniffer技术和后门技术结合起来了。传统的后门是通过监听TCP端口和UDP端口，向攻击者敞开方便之门。对于这类后门，有经验的系统管理员和信息安全人员可以通过定期检测端口使用情况，来发现这些新开放的后门服务。

而新类型的后门技术排除了把进程建立在端口上的方式，而是使用sniffer(监听)技术，通过类型匹配的方式，被动地捕捉后门操作者发过来的消息，从而执行相应的指令，后门采用的指示器可以是一个特定的IP地址、一个TCP标志位，甚至是一个没有开放（侦听）的端口。象Cd00r和SAdoor就是类似这样的后门程序。

嗅探式后门(Sniffer/backdoors)可以工作在混杂模式下，也可以工作在非混杂模式下。(编者注：混杂模式是网络监听程序要用到的工作模式，其实就是改变网卡设置，把网卡原来只接收属于自己的数据包的模式，改为不管什么数据包都接收的模式)。

非混杂模式的嗅探式后门，只监听本机通信，只在受害主机上扮演威胁者的角色。

而被设置为混杂模式的后门，可以监听以太网上其它主机的通信数据，这种模式将严重困扰网络安全管理员。设想以下情况：攻击者在DMZ区(停火区)其中一台web服务器放置嗅探式后门，监视另一台mail服务器的通信。对于攻击者来说，他可以只需要向mail服务器发送攻击指令，但mail服务器上其实没有装后门，指令的执行者是web服务器。管理员查来查去还会以为是mail服务器中了木马，却很难想到其实是web服务器中标。这是典型的伪造现场的作案思路。