防御<待續(xù)>
1签孔、構造動態(tài)字符串
動態(tài)SQL語句是在執(zhí)行過程中構造的躏惋,根據(jù)不同的條件產生不同的SQL語句校仑。當開發(fā)人員在運行過程中需要根據(jù)不容的查詢標準來決定提取什么字段(如select語句)拙徽,或者根據(jù)不同的條件來選擇不同的查詢表時彪标,動態(tài)構造SQL語句會非常有用概而。
參數(shù)化查詢是指SQL語句中包含一個或多個嵌入?yún)?shù)的查詢呼巷,在運行過程中將參數(shù)傳遞給這些查詢。包含的嵌入到用戶輸入中的參數(shù)不會被解析成命令而執(zhí)行赎瑰,而且代碼不存在被注入的機會王悍。
SQL數(shù)據(jù)庫將單引號字符(‘)解析成代碼與數(shù)據(jù)間的分界線:單引號外面的內容均是需要運行的代碼,而用單引號引起來的內容均是數(shù)據(jù)餐曼。因此压储,只需要簡單地在URL或Web頁面的字段中輸入一個單引號鲜漩,就能快讀識別出Web站點是否會受到SQL注入攻擊。
一集惋、SQL注入是什么
1孕似、Web應用的工作原理
Web應用是一種使用Web瀏覽器并通過Internet或內部網訪問的程序,它同時還是一種使用瀏覽器所支持語言編寫的計算機軟件程序刮刑,借助普通的Web瀏覽器來呈現(xiàn)應用程序的可執(zhí)行文件喉祭。
2、SQL注入
SQL注入是一種將SQL代碼插入或添加到應用(用戶)的輸入?yún)?shù)中雷绢,之后再將這些參數(shù)傳遞給后臺的SQL服務器加以解析并執(zhí)行的攻擊泛烙。
如果Web應用開發(fā)人員無法確保在將從Web表單、cookie翘紊、輸入?yún)?shù)等收到的值傳遞給SQL查詢之前已經對其進行過驗證蔽氨,通常就會出現(xiàn)SQL注入漏洞。
二帆疟、SQL注入測試
1鹉究、尋找SQL注入
識別SQL注入漏洞有一種簡單地規(guī)則:通過發(fā)送意外數(shù)據(jù)來觸發(fā)異常。該規(guī)則包括如下含義:識別Web應用上所有的數(shù)據(jù)輸入鸯匹;了解哪種類型的請求會觸發(fā)異常坊饶;檢測服務器響應中的異常。
1)殴蓬、借助推理進行測試
(1)識別數(shù)據(jù)輸入
識別遠程Web應用所接受的所有數(shù)據(jù)輸入匿级,HTTP定義了很多客戶端可以發(fā)送給服務器的操作,但我們只關注與尋找SQL注入相關的兩種方法染厅,GET和POST痘绎。
GET請求
GET請求是一種服務器的HTTP方法,使用該方法時肖粮,信息包含在URL中孤页、點擊一個鏈接時,一般會使用該方法涩馆。
只需在瀏覽器的導航欄中稍作修改即可操縱這些參數(shù)行施。此外,還可以使用代理工具魂那。
POST請求
POST是一種用于向Web服務器發(fā)送信息的HTTP方法蛾号。在瀏覽器中填寫表單并單擊Submit按鈕時通常使用該方法。如果瀏覽器禁止修改數(shù)據(jù):采用兩種辦法涯雅,瀏覽器修改擴展(運行于瀏覽器之上的插件)鲜结,代理服務器(在自己的計算機上安裝代理服務器,配置瀏覽器以使用代理服務器)。
cookie
一般被用于驗證精刷、會話控制和保存用戶特定的信息拗胜。
HTTP頭
有些網絡監(jiān)視程序和Web趨勢分析程序會使用主機頭、引用站點頭和用戶代理頭的值來創(chuàng)建圖形怒允,并將它們存儲在數(shù)據(jù)庫中埂软。
(2)操縱參數(shù)
(3)信息工作流
Web服務器和數(shù)據(jù)庫服務器是相互獨立的實體∪沂拢可以通過操縱SQL語句來讓數(shù)據(jù)庫服務器返回任意數(shù)據(jù)仰美,而Web服務器卻無法驗證數(shù)據(jù)是否合法,因此會將數(shù)據(jù)回傳給攻擊者儿礼。
2)、數(shù)據(jù)庫錯誤
SQL Server
類型轉換錯誤
將字符串轉換為整數(shù)來產生錯誤庆寺,除法運算需要兩個數(shù)字作為操作數(shù)蚊夫,所以數(shù)據(jù)庫嘗試將除號后面的不跟轉換成數(shù)字,當該操作失敗時懦尝,數(shù)據(jù)庫會顯示出變量的內容知纷。
http://www.victim.com/showproducts.aspx?category=bikes' and 1=0/user;--
使用該技術顯示出user變量的值
http://www.victim.com/showproducts.aspx?category=bikes' having 1'='1
顯示數(shù)據(jù)庫執(zhí)行的語句的信息
GROUP BY 要求SELECT語句選擇的字段是某個聚合函數(shù)的結果或者包含在GROUP BY子句中。如果該條件不滿足陵霉,那么數(shù)據(jù)庫會返回一個錯誤琅轧,顯示出現(xiàn)該問題的第一列。
那么踊挠,根據(jù)該技術和乍桂,可以枚舉SELECT語句中的所有列:
http://www.victim.com/showproducts.aspx?category=bikes' GROUP BY productid having '1' = '1
數(shù)據(jù)庫錯誤披露了接下來的name列。只需要繼續(xù)增加發(fā)現(xiàn)的列即可枚舉所有列:
http://www.victim.com/showproducts.aspx?category=bikes' GROUP BY productid效床, name having '1' = '1
枚舉出所有列名后睹酌,可以使用前面的類型轉換錯誤技術來檢索列對應的值
http://www.victim.com/showproducts.aspx?category=bikes' and 1=0/name;--
MySQL
所有主流服務器端腳本語言均能訪問MySQL數(shù)據(jù)庫。
Oracle
3)剩檀、應用程序的響應
(1)憋沿、常見錯誤
注入一個永真條件 'OR '1' = '1
注入一個永假條件 'AND '1' = '2
(2)、HTTP代碼錯誤
HTTP200沪猴,它表示請求已成功接收辐啄。
HTTP500,Web服務器在呈現(xiàn)請求的Web源時如果發(fā)現(xiàn)錯誤运嗜,便會返回HTTP500壶辜。
HTTP302,重定向到首頁或自定義錯誤頁面洗出。
4)士复、SQL盲注
SQL盲注是一種SQL注入漏洞,攻擊者可以操縱SQL語句,應用會針對真假條件返回不同的值阱洪。但是攻擊者無法檢索查詢結果便贵。由于SQL盲注漏洞非常耗時且需要向Web服務發(fā)送很多請求,因而要想利用該漏洞冗荸,就需要采用自動的技術承璃。
2、確認SQL注入
1)蚌本、區(qū)分數(shù)字和字符串
是否需要使用單引號來表示
2)盔粹、內聯(lián)SQL注入
(1)字符串內聯(lián)注入
(2)數(shù)字值內聯(lián)注入
注入數(shù)字時不需要添加開始和結尾的單引號定界符。
