SQL Injection OWASP 數位鑑識 駭客攻擊 資安

無痕瀏覽走過不留紀錄 記憶體鑑識仍有跡證可循

Injection做為攻擊手法,針對受駭端主機及攻擊端主機討論完整的鑑識分析方法,以找出攻擊端及受駭端之證據關聯性,串聯整起資安攻擊事件。
人們對於隱私權越來越重視以及要求,而做為通往網路世界大門的瀏覽器,為了因應使用者對於隱私權的需求,便產生了無痕瀏覽模式,其目的為保護個人隱私,讓使用者在關閉瀏覽器後,不會留下任何網頁紀錄。

然而,有心人士卻藉由無痕瀏覽不會留下網頁紀錄的特性以進行網路犯罪,不僅對使用者造成了損失,也破壞了業者的信譽,因此對於數位鑑識人員而言,該如何從無痕瀏覽模式中找出相關跡證,證明不法者之犯罪行為,以達法網恢恢,疏而不漏之目的,無疑是一大挑戰。

本文將著重於在無痕瀏覽模式下進行的SQL Injection攻擊,並且從攻擊端主機以及受駭端主機中找出不法行為之相關證據。

背景知識介紹

首先說明何謂Google Chrome無痕瀏覽、SQL Injection攻擊手法,以及本次將會使用到的軟體工具。

Google Chrome無痕瀏覽

由於民眾對於隱私權議題越來越重視,所以市面上常見的瀏覽器多數均有無痕瀏覽或相似的功能。

根據國內研究文獻資料可知,瀏覽器在無痕模式下,絕大多數不會留下紀錄,使用一般的鑑識分析方式可能無法取出數位證據。以Google Chrome的無痕瀏覽模式為例,其未記錄的檔案包括瀏覽紀錄、下載清單、Web Cache、Cookies、自動填入表單、帳號密碼等等。

SQL Injection攻擊手法

SQL Injection是常見的Web應用程式攻擊手法,由於Web應用程式在開發設計過程中設計不良,或是系統工程師疏於檢查,導致攻擊者能夠惡意輸入夾帶SQL指令的字串,使得資料庫伺服器誤認為是正常的SQL指令而執行,導致其資料庫遭到破壞或入侵。而依據其攻擊語法類型,主要可區分以下四大類型:

‧Union Based Injection:在SQL語法中,「/*」、「--」以及「#」皆代表了註解之意,通常在login欄位之後為password欄位,假如攻擊者在login欄位輸入#,即表示#後面的password欄位將被註解掉,因此攻擊者不需要輸入密碼即可登入網站。

‧Error Based Injection:此種攻擊方式為攻擊者刻意輸入不正確的語法,藉由資料庫回傳的錯誤訊息,如顯示資料庫中表格欄位的輸入值錯誤,即可藉此得知資料庫中存有那些表格欄位名稱,以獲取資料庫的資訊。

‧Boolean Based Blind Injection:此種方式稱為盲注,當網站伺服器沒有回傳任何錯誤訊息時,可藉由TRUE & FALSE的邏輯關係,推測資料庫的版本、欄位名稱等資訊,例如可藉由語法查詢資料庫的某個字元值是否為某個數值等。

‧Time Based Injection:若網站伺服器沒有回傳任何錯誤訊息且無法透過TRUE & FALSE的邏輯關係,推測資料庫的資訊,則可藉由時間延遲的技術得知資料庫的資訊,也就是說,可以藉由若A=1則等待10秒等方式,透過回應時間進行推測。

軟體工具簡介

本次數位鑑識將會使用到FTK Imager和WinHex。FTK Imager是由Access Data公司所開發的一套數位鑑識工具,可以進行數位證據的預覽以及獲取映像檔,提供數位鑑識人員簡易操作功能,可於Access Data官方網站免費下載。本文即透過FTK Imager進行記憶體萃取(Memory Dump),取得暫存於記憶體中的資訊以進行分析。

WinHex則是由X-Ways Software Technology AG公司所開發的一套十六進制編輯器,可以用來復原數據並且提供數位鑑識人員進行資料的剖析,可於X-Ways Software Technology AG官方網站免費下載。本文將透過WinHex分析暫存於記憶體中的資訊。

受駭端及攻擊端主機鑑識

在數位鑑識的過程中,對於鑑識人員而言,除了從受駭主機中找出被攻擊的證據外,如果能夠從攻擊主機中找到與攻擊有關的數位證據,將可使整體調查結果更加完整,讓證據更有說服力。如此一來,不僅能藉由數位證據還原犯罪過程,更可以證明攻擊端真的有攻擊行為。因此,本章節將針對受駭端主機鑑識以及攻擊端主機鑑識這兩部分進行說明。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!