Question

一个合法的 Web 请求最后可能会涉及后端各种业务逻辑，跟数据库打交道，在页面上展示相关内容等。这里需要关注两个问题，一是到数据库的请求是否真的合法；二是页面上返回的输出是否包含敏感信息，我们都放在这一节来讲。

一个 SQL 注入语法可能经过各种变形，加之利用服务端和 WAF 特性进行了绕过，但到了数据库这里，一切都是非常清晰的，数据库审计类产品可以轻松发现一些注入行为。数据库审计类产品有两类，一种是基于 proxy 或插件模式的；一种是基于网络流量的。基于 proxy 好理解，应用先连接 proxy，再由 proxy 连接后端真实数据库，这样所有的 SQL 请求都会被 proxy 记录下来；而有些数据库有一些审计插件，例如 Mcafee 开源的 MySQL_Audit 插件，只需将对应的 so 文件复制到 plugin_dir 目录然后在配置文件里启用即可。但这两个方案都对应用有一定的侵入性，稳妥起见，建议使用基于网络流量的数据库审计类产品，即将应用到 DB 的流量镜像给设备，由设备再还原出 SQL 语句。商业的数据库审计产品有 imperva、安恒等。

一个正常的页面输出，也可能会涉及银行卡号、身份证、手机号等客户资料信息，一般应用需要做一些脱敏处理。在一些特殊情况下可能处理得不够好，这时候就需要有一定的监测机制才能发现这种问题。常规的 DLP 方案在这里需要经过一定的调整，重点不再是分析 HTTP 的 Request，而是分析服务器的 Response 信息。在 Response 信息里不仅能发现一些客户资料信息，还能发现一些异常的东西，诸如目录遍历、特定 WebShell 等的问题。当然有些功能也可以在 WAF 里实现，WAF 也有针对 Response 的一些检测规则。