SQL注入式攻擊原理及防范5頁(yè)

1、SQL注入式攻擊原理及防范 【摘 要】本文介紹了SQL注入式攻擊的原理，結(jié)合實(shí)例闡述了SQL注入式攻擊的方法，并從代碼層和平臺(tái)層探討了SQL注入式攻擊的防范。 【關(guān)鍵詞】SQL；注入式；攻擊 1. SQL注入式攻擊的原理 進(jìn)行SQL注入時(shí)一般會(huì)用到兩種方式：第一是手工注入，第二是工具注入。對(duì)于猜解管理員的密碼方面一般用Pangolin或者NBSI ，其總體思路是1：（1）掃描目標(biāo)網(wǎng)絡(luò)信息（判斷是否存在SQL注入漏洞）；（2）判斷后臺(tái)數(shù)據(jù)庫(kù)類型；（3）發(fā)現(xiàn)WEB虛擬目錄；（4）上傳ASP木馬；（5）得到管理員權(quán)限。 詳細(xì)介紹如下： （1）SQL注入一般存在于形如：http：/xxx.xxx.xx

2、x/abc.asp？p=YY的網(wǎng)站中。 （2）在http：/xxx.xxx.xxx/abc.asp？p=YY 后面追加“and 1=1”，并訪問(wèn)該網(wǎng)址即http：/xxx.xxx.xxx/abc.asp？p=YY and 1=1 應(yīng)該與訪問(wèn)原地址得到的結(jié)果相同。 （3）在http：/xxx.xxx.xxx/abc.asp？p=YY 后面追加“and 1=2”，并訪問(wèn)該網(wǎng)址即http：/xxx.xxx.xxx/abc.asp？p=YY and 1=2應(yīng)該與訪問(wèn)原地址得到的結(jié)果不同，并提示數(shù)據(jù)庫(kù)錯(cuò)誤。（2，3同時(shí)滿足則此網(wǎng)站必定存在SQL漏洞，可以進(jìn)行sql注入攻擊） （4）訪問(wèn)http：/xxx

3、.xxx.xxx/abc.asp？p=YY and exists （select * from 網(wǎng)站數(shù)據(jù)庫(kù)常用表段名） 網(wǎng)站數(shù)據(jù)庫(kù)常用表段名：admin users administrator 等，如果進(jìn)入的網(wǎng)頁(yè)像步驟二一樣，是正常網(wǎng)頁(yè)，證明存在該表段名。找尋該SQL數(shù)據(jù)庫(kù)使用的表名，進(jìn)而尋找網(wǎng)站的管理員名、密碼等信息。 （5）訪問(wèn)http：/xxx.xxx.xxx/abc.asp？p=YY and exists （select 網(wǎng)站數(shù)據(jù)庫(kù)常用字段名 from 第4步找到的可入侵表名） 網(wǎng)站數(shù)據(jù)庫(kù)常用字段名：admin password username 等，如果進(jìn)入的網(wǎng)頁(yè)像步驟2一樣，是正常

4、網(wǎng)頁(yè)，證明存在該字段名。找尋該SQL數(shù)據(jù)庫(kù)使用的字段名，進(jìn)而尋找網(wǎng)站的管理員名、密碼等信息。 （6）訪問(wèn)http：/xxx.xxx.xxx/abc.asp？p=YY and exists （select *from第4步找到的可入侵表名where第5步找到的可入侵字段名like _ ） 。 （7）訪問(wèn)http：/xxx.xxx.xxx/可入侵后門字段名，找到網(wǎng)站后門。 （8）利用從數(shù)據(jù)庫(kù)中查到的敏感數(shù)據(jù)進(jìn)入網(wǎng)站后門。 2. SQL注入式攻擊的簡(jiǎn)單實(shí)例 這里我們舉一個(gè)比較常見的例子來(lái)簡(jiǎn)要說(shuō)明一下sql注入的原理。假如我們有一個(gè)users表，里面有兩個(gè)字段username和password。在我們

5、的java代碼中我們初學(xué)者都習(xí)慣用sql拼接的方式進(jìn)行用戶驗(yàn)證。比如： select id from users where username = +username + and password = + password + 這里的username和password都是我們存取從web表單獲得的數(shù)據(jù)。下面我們來(lái)看一下一種簡(jiǎn)單的注入，如果我?在表單中username的輸入框中輸入 or 1=1- ，password的表單中隨便輸入一些東西，假如這里輸入123.此時(shí)我們所要執(zhí)行的sql語(yǔ)句就變成了 select id from users where username = or 1=1- and

6、 password = 123，我們來(lái)看一下這個(gè)sql，因?yàn)?=1是true，后面 and password = 123被注釋掉了。所以這里完全跳過(guò)了sql驗(yàn)證。 3. SQL注入式攻擊的防范 從存在的實(shí)際情況來(lái)看，包括Web服務(wù)器管理員、數(shù)據(jù)庫(kù)服務(wù)器管理員、數(shù)據(jù)庫(kù)設(shè)計(jì)員、代碼程序員在內(nèi)的所有工作人員都是防御體系的關(guān)鍵。 從Web應(yīng)用程序的開發(fā)、部署、管理、維護(hù)多個(gè)方面進(jìn)行審查，使程序SQL注入了漏洞最小化。我們從代碼層和平臺(tái)層兩個(gè)方面來(lái)闡述SQL注入攻擊的防御。 3.1代碼層防御 從Web數(shù)據(jù)庫(kù)管設(shè)計(jì)員和編寫代碼的角度來(lái)研究SQL注入攻擊防御的。 （1）使用參數(shù)化語(yǔ)句。前面講過(guò)動(dòng)態(tài)字符串構(gòu)造

7、是引發(fā)SQL注入漏洞的原因之一。作為一種更加安全的動(dòng)態(tài)字符串構(gòu)造方法，大多數(shù)現(xiàn)代編程語(yǔ)言和數(shù)據(jù)庫(kù)訪問(wèn)API可以使用占位符或綁定變量來(lái)向SQL查詢提供參數(shù)（而非直接對(duì)用戶輸入進(jìn)行操作）2，這些通常稱為參數(shù)化語(yǔ)句內(nèi)容是更安全的方法，可以使用它們來(lái)避免或解決很多在應(yīng)用中經(jīng)常見到的SQL注入問(wèn)題，并可以在大多數(shù)常見的情形中使用它們來(lái)替代現(xiàn)有的動(dòng)態(tài)查詢。不過(guò)，值得注意的是，參數(shù)化語(yǔ)句是與一種向數(shù)據(jù)庫(kù)提供潛在的非安全參數(shù)（通常作為查詢或存儲(chǔ)過(guò)程調(diào)用）的方法。雖然它們不會(huì)修改傳遞給數(shù)據(jù)庫(kù)的內(nèi)容，但如果正在調(diào)用的數(shù)據(jù)庫(kù)功能在存儲(chǔ)過(guò)程或函數(shù)中使用了動(dòng)態(tài)SQL，則仍然可能出現(xiàn)SQL注入。 （2）輸出編碼 。處理驗(yàn)

8、證應(yīng)用受到的輸入以外，通常還需要對(duì)在應(yīng)用的不同的模塊或部分間傳遞的內(nèi)容進(jìn)行編碼。在SQL注入語(yǔ)境中，將其發(fā)送給數(shù)據(jù)庫(kù)的內(nèi)容進(jìn)行編碼或“引用”是必要的操作，這樣可以保證內(nèi)容被正確地處理。如有必要對(duì)包含字符串中的單引號(hào)進(jìn)行編碼，可以使用兩個(gè)單引號(hào)替換單個(gè)單引號(hào)的方法來(lái)實(shí)現(xiàn)編碼的目的，從而有效阻止惡意用戶在特定的查詢中利用SQL注入，可以使用與下面類似的代碼在java中實(shí)現(xiàn)該目的： Sql=sql.replace（“ “， “ “）；。 3.2平臺(tái)層防御 服務(wù)器管理員應(yīng)在IIS中為每個(gè)網(wǎng)站設(shè)置好執(zhí)行權(quán)限，一定別給靜態(tài)網(wǎng)站以腳本和可執(zhí)行權(quán)限。一般情況下給個(gè)“純腳本”權(quán)限就夠了，對(duì)于那些通過(guò)網(wǎng)站后臺(tái)管理

9、中心上傳的文件存放的目錄，就更謹(jǐn)慎一點(diǎn)吧，執(zhí)行權(quán)限設(shè)為無(wú)好了，這樣就能防止別有用心的人上傳ASP木馬，即使上傳了， ASP木馬也運(yùn)行不了。由于SQL注入漏洞涉及整個(gè)網(wǎng)站安全，一旦黑客通過(guò)這個(gè)漏洞上傳了ASP木馬并運(yùn)行起來(lái)，那整個(gè)網(wǎng)站也就完蛋了。所以責(zé)任心強(qiáng)的服務(wù)器管理員都應(yīng)該十分謹(jǐn)慎的配置IIS的執(zhí)行權(quán)限。 同樣的謹(jǐn)慎態(tài)度也應(yīng)該用在數(shù)據(jù)庫(kù)用戶的權(quán)限配置上（MS_SQL，ACCESS都沒有用戶權(quán)限配置）。如果PUBLIC權(quán)限已經(jīng)夠用，那就不需要給更高的權(quán)限了，千萬(wàn)別把SA級(jí)別的權(quán)限隨隨便便地給人家啊。要知道SA可是個(gè)等同管理員權(quán)限的角色，拿到了SA權(quán)限，幾乎就等于拿到主機(jī)的管理員帳號(hào)了。黑客可是能通過(guò)編程跨庫(kù)進(jìn)行SQL注入的，如果把SA權(quán)限給了存在SQ