金融行业安全漏洞分析报告（四）

2.解决SQL注入

SQL注入是金融行业数据安全面临的最大威胁。只依赖WAF不足以完全保障程序免收SQL注入的困扰。这是由于WAF擅长解析过滤http协议，不能对SQL进行解析过滤。针对这个缺陷，可以在WEB应用和数据库之间加入数据库防火墙进行SQL部分的解析和过滤。数据库防火墙对从WEB应用发向数据库的SQL语句进行语法解析，可以理解SQL语句的真实含义，并做以下四点判断：

1、语句是否含有明显的SQL注入特征；

2、语句访问的对象是否属于该用户访问权限；

3、语句的关键谓词是否被禁用；

4、限制语句的返回行数，把危险控制在最低限。

加入数据库防火墙后，数据库防火墙会在WEB应用和数据库之间获取WEB应用发送给数据库的SQL语句。通过拿到的SQL语句，按照不同数据库进行SQL协议解析，通过协议解析把应用发送的SQL语句还原成标准模式（去掉各种加入的符号，转译码等），防止黑客利用上述绕过WAF的手法绕过数据库防火墙进行SQL注入。

首先还原后的SQL语句和黑名单中的禁止语句结构进行匹配，如果认为是威胁语句，则禁止该语句发送到数据库端，并通过发送短信、邮件等方式及时通知管理员进行处理；语句结构判断没有问题后防火墙接下来会对语句中的操作对象和谓词进行判断，如果对象或谓词有控制，则依旧禁止该语句发送到数据库端；最后即便规则全部符合，SQL语句被发送到数据库端，数据库防火墙还可以通过行数控制来限制数据库每次的返回行数把威胁减到最小。

3.解决程序逻辑错误

程序逻辑错误主要指每个用户权限的划分时存在逻辑问题。这需要对业务系统中逻辑错误进行代码修改，并加强关键部分的逻辑防守。特别需要注意加强防守的功能点有购物车、支付功能、提现功能、用户数据查询、订单数据查询、API接口、密码设置/重置等。同时要注重重要业务系统的运维管理、遵循安全开发最佳实践、对密码本身进行可靠的存储（数据库中只存储加盐的HASH而不是密码本身）、使用加密的传输协议。

安全其实就是这样一种形态，平时不出状况看不到安全的效果，一旦爆发数据泄露事件，无论对于企业还是用户本身，甚至国家信息安全，其损失不可估量。业务在发展，安全领域攻与防的对抗将长期持续。