SQL注入技术和跨站脚本的安全检测：正则表达式

1. 介绍
    在 最后两年中，安全专家应该对网络应用层的攻击更加重视。因为无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制，如果你的网络应用程序开发者没有 遵循 安全代码进行开发，攻击者将通过80端口进入你的系统。广泛被使用的两个主要攻击技术是SQL注入[ref1]和CSS[ref2]攻击。SQL注 入是指：通过互联网的输入区域，插入SQL meta-characters（特殊字符 代表一些数据）和指令，操纵执行后端的SQL查询的技术。这些攻 击主要针对其他组织的WEB服务器。CSS攻击通过在URL里插入script标签，然后 诱导信任它们的用户点击它们，确保恶意Javascript代 码在受害人的机器上运行。这些攻击利用了用户和服务器之间的信任关系，事实上服务器没有对输入、输出进行检测，从而未拒绝javascript代码。
  
    依 赖level of paranoia组织的能力，我们已经编写了多种检测相同攻击的规则。如果你希望检测各种可能的SQL注入攻击，那么你需要简单的留 意任何现行的SQL meta-characters，如单引号，分号和双重破折号。同样的一个极端检测CSS攻击的方法，只要简单地提防HTML标记的 角括号。但这样会检测 出很多错误。为了避免这些，这些规则需要修改使它检测更精确些, 当仍然不能避免错误。
   
    在Snort规则中使 用pcre(Perl Compatible Regular Expressions)[ref4]关键字，每个规则可以带或不带其他规则动作。这些规 则也可以被公用软件如grep(文档搜索工具)使用，来审阅网络服务器日志。 但是,需要警惕的是，用户的输入只有当以GET提交请求时，WEB服务器才 会记录日记,如果是以POST提交的请求在日记中是不会记录的。
2. SQL注入的正则表示式
    当你为SQL注入攻击选 择正则表示式的时候，重点要记住攻击者可以通过提交表单进行SQL注入，也可以通过Cookie区域。你的输入检测逻辑应该考虑用户 组织的各类型输入 (比如表单或Cookie信息)。并且如果你发现许多警告来自一个规则，请留意单引号或者是分号，也许些字符是你的Web应用程序创造的 合法的在 CookieS中的输入。因此, 您需要根据你的特殊的WEB应用程序评估每个规则。
    依照前面提到，一个琐细的检测SQL射入攻击的正则表达式要留意SQL特殊的meta-characters 譬如单引号(’)双重扩则号(--),为了查出这些字符和他们hex等值数, 以下正则表达式适用:
2.1 检测SQL met