SQL注入

SQL注入是一个严重的漏洞，它允许恶意参与者执行SQL语句。这可能会导致数据盗窃、数据丢失和账户被接管。该漏洞通常是通过常见的安全工具和扫描仪发现的，如Burp Suite。tCell的应用防火墙监视应用程序的SQL注入和SQL异常事件，并使用其分析引擎来确定并阻塞可疑的演员．

它是什么?

当恶意参与者将SQL语句注入应用程序执行时，就会发生SQL注入攻击。成功的攻击允许恶意参与者检索和修改数据库的内容，这可能导致大量问题，如数据盗窃、数据丢失和帐户接管。避免受到攻击的最佳安全实践是将所有SQL查询参数化。OWASP的SQL注入预防备忘单是一个很好的资源，可以学习更多关于防止SQL注入的知识。

恶意行为者如何找到漏洞?

最常见的情况是，恶意参与者将使用应用程序安全扫描程序(如Burp Suite)来扫描应用程序的SQL注入漏洞。参与者还将花费时间在URL、头和主体中手动发现应用程序的所有参数，然后使用比安全扫描器更复杂的技术对它们进行修改，以测试SQL注入漏洞。在这里是一个很好的SQL注入备忘单。

如何使用tCell来保护我的应用程序?

SQL注入检测是tCell应用程序防火墙功能的一部分，默认情况下是启用的。要验证它是否已启用，请登录tCell控制台并转到策略>应用防火墙．确保启用检查“应用防火墙”，并确保启用在“SQL注入”类别下选中。在本节中，您还将看到SQL注入的设置。虽然默认设置对某些客户可能有效，但对其他客户可能无效。更多信息，请参阅我们的应用程序防火墙调优指南。此外,确保启用是在“App Exceptions”下检查的吗SQL异常在下面的“设置”中选中。

的应用防火墙将检测和跟踪SQL注入尝试以及SQL异常事件。要查看这些事件，请转到tCell控制台中仪表板->应用防火墙．它将显示这些事件发生频率的图表。在右上角，您可以修改时间范围。

控件的任意列中的事件计数可以获取单个事件的更多详细信息活动图表或去事件->应用防火墙．下通过过滤，确保探测点和包括被选中。输入sql要查看SQL异常事件，请重复上述步骤输入exsql在这个领域。要获取列表中某个特定事件的更多详细信息，请单击该事件的IP地址旁边的右箭头。

需要注意的是，如果SQL注入尝试导致SQL异常，很可能是恶意参与者在应用程序中发现了SQL注入漏洞。虽然tCell可以保护您不受攻击，但安全性最佳实践也是修复代码中的漏洞。

App Firewall检测到的所有事件都由tCell的分析引擎来决定可疑的演员．这是一种不同于WAF等老技术的技术，因为tCell并不以每个事务为基础进行决策。这使我们能够减少噪声并显著减少假阳性的数量。注意，恶意参与者将继续被识别为可疑的，直到所有可疑活动从参与者的IP停止24小时。您总是可以看到当前列表可疑的演员去仪表盘->可疑的演员．

一次可疑的演员， tCell可以阻断它们。有两种不同的阻塞模式。您可以配置tCell来阻止所有活动，或者只阻止来自恶意参与者的IP的可疑活动。对许多组织来说，仅仅屏蔽可疑的活动是有利的，因为它降低了潜在地屏蔽来自同一IP的优秀用户的风险。这一点很重要，因为共享IP场景，如wifi热点和IPv6到IPv4 NAT，已经变得非常普遍。使阻塞可疑的演员，在tCell控制台中，转到政策>可疑角色然后在下面选择你想要的屏蔽类型自动阻止可疑角色．请注意：启用IP封锁必须检查可疑的演员阻塞工作。

更多阅读:OWASP的SQL注入预防备忘单