sql注入攻擊-數(shù)據(jù)安全課件

關(guān)注數(shù)據(jù)庫安全?Allrightsreserved案例一新華網(wǎng)１２月２２日國內(nèi)最大的程序員網(wǎng)站ＣＳＤＮ網(wǎng)站２１日被曝６００萬用戶的數(shù)據(jù)庫信息被黑客公開。隨后網(wǎng)上出現(xiàn)人人網(wǎng)、開心網(wǎng)、天涯、多玩、世紀(jì)佳緣、珍愛網(wǎng)、美空網(wǎng)、百合網(wǎng)、178、7K7K等知名網(wǎng)站的用戶數(shù)據(jù)資料也被放到網(wǎng)上公開下載案例一（續(xù)

）截至目前，除ＣＳＤＮ發(fā)表聲明承認(rèn)用戶數(shù)據(jù)庫信息泄露外，其他網(wǎng)站還沒有正面回應(yīng)。此次規(guī)模空前的用戶數(shù)據(jù)信息泄露事件已經(jīng)引起網(wǎng)民極大關(guān)注后果很嚴(yán)重ＣＳＤＮ已經(jīng)發(fā)表聲明公開道歉，并要求相關(guān)用戶立即修改密碼，還表示已向公安機關(guān)正式報案。目前，３６０、金山等網(wǎng)絡(luò)安全企業(yè)已經(jīng)啟動紅色安全預(yù)警，但牽涉其中的具體用戶數(shù)量尚不清楚，危害程度也難以評估。還沒有相關(guān)管理部門就此事件表態(tài)。原因CSDN據(jù)說備份數(shù)據(jù)遭到攻擊CSDN網(wǎng)站早期使用過明文密碼（即可以直接看懂的密碼）。2009年4月之后改成加密密碼，但部分明文密碼未清理；2010年8月底清理掉了所有明文密碼。案例二2011年8月22日金山毒霸防黑墻日志顯示，攔截到大量針對1433端口（SQLServer數(shù)據(jù)庫服務(wù)使用的端口）的攻擊。分析攻擊數(shù)據(jù)后得知，黑客使用批量抓雞工具隨機掃描安裝了SQL數(shù)據(jù)庫的計算機，攻擊成功會導(dǎo)致安裝SQLServer的計算機被遠(yuǎn)程控制。案例三今年4月26日，日本索尼公司發(fā)布通告，承認(rèn)黑客侵入旗下“游戲站”和云音樂服務(wù)Qriocity網(wǎng)絡(luò)，竊取大量用戶個人信息。隨后，索尼在希臘、泰國和印度尼西亞以及旗下索尼愛立信加拿大公司的網(wǎng)站遭受攻擊。幾輪攻擊中，總計超過1億索尼在線賬戶受影響。

作為軟件研發(fā)人員，如何讓我們做的系統(tǒng)更安全？以前的Oracle數(shù)據(jù)庫有一個默認(rèn)的用戶名：Scott及默認(rèn)的口令：tiger;而微軟的SQLServer的系統(tǒng)管理員賬戶的默認(rèn)口令是也是眾所周知。這些默認(rèn)的登錄對于黑客來說尤其方便，借此他們可以輕松地進(jìn)入數(shù)據(jù)庫。保護(hù)自己免受口令攻擊：避免使用默認(rèn)口令，建立強健的口令管理程序并對口令經(jīng)常改變利用未用的和不需要的數(shù)據(jù)庫服務(wù)和功能中的漏洞一個外部的攻擊者會尋找較弱的數(shù)據(jù)庫口令，看其潛在的受害人是否在運行其Oracle數(shù)據(jù)庫上運行監(jiān)聽程序(Listener)功能。監(jiān)聽程序可以搜索出到達(dá)Oracle數(shù)據(jù)庫的網(wǎng)絡(luò)連接，并可以轉(zhuǎn)發(fā)此連接，這樣一來就會將用戶和數(shù)據(jù)庫的鏈接暴露出來。針對未打補丁的數(shù)據(jù)庫漏洞好消息是Oracle和其它的數(shù)據(jù)庫廠商確實在為其漏洞打補丁。壞消息是單位不能跟得上這些補丁，這些數(shù)據(jù)庫并沒有打補丁，如果一個黑客能夠比較版本，并精確地找出漏洞在什么地方，那么，他就可以跟蹤這個數(shù)據(jù)庫。竊取(未加密的)備份磁帶如果備份磁帶在運輸或倉儲過程中丟失，而這些磁帶上的數(shù)據(jù)庫數(shù)據(jù)又沒有加密的話，這時黑客根本不需要接觸網(wǎng)絡(luò)就可以實施破壞。人們備份了許多數(shù)據(jù)，但卻疏于跟蹤和記錄。磁帶容易遭受攻擊，因為沒有人會重視它，而且企業(yè)在多數(shù)時間并不對其加密Sql注入攻擊觀察近來的一些安全事件及其后果，安全專家們已經(jīng)得到一個結(jié)論，這些威脅主要是通過SQL注入造成的知彼知己，方可取勝。首先要清楚SQL注入攻擊有哪些種類。SQL注入攻擊有哪些種類沒有正確過濾轉(zhuǎn)義字符Incorrecttypehandling數(shù)據(jù)庫服務(wù)器中的漏洞盲目SQL注入式攻擊條件響應(yīng)條件性差錯時間延誤沒有正確過濾轉(zhuǎn)義字符（二）SELECT*FROMusersWHEREname='a'OR't'='t';如果這種代碼被用于一個認(rèn)證過程，那么這個例子就能夠強迫選擇一個合法的用戶名，因為賦值't'='t永遠(yuǎn)是正確的。沒有正確過濾轉(zhuǎn)義字符（三）在一些SQL服務(wù)器上，如在SQL

Server中，任何一個SQL命令都可以通過這種方法被注入，包括執(zhí)行多個語句。下面語句中的username的值將會導(dǎo)致刪除“users”表，又可以從“data”表中選擇所有的數(shù)據(jù)(實際上就是透露了每一個用戶的信息)。如果一個用戶提供的字段并非一個強類型，或者沒有實施類型強制，就會發(fā)生這種形式的攻擊。當(dāng)在一個SQL語句中使用一個數(shù)字字段時，如果程序員沒有檢查用戶輸入的合法性(是否為數(shù)字型)就會發(fā)生這種攻擊。例如：SELECT*FROMdataWHEREid="+a_variable+";

IncorrecttypehandlingIncorrecttypehandling從這個語句可以看出，作者希望a_variable是一個與“id”字段有關(guān)的數(shù)字。不過，如果終端用戶選擇一個字符串，就繞過了對轉(zhuǎn)義字符的需要。例如，將a_variable設(shè)置為:1;DROPTABLEusers，它會將“users”表從數(shù)據(jù)庫中刪除SELECT*FROMDATAWHEREid=1;DROPTABLEusers;盲目SQL注入式攻擊當(dāng)一個Web應(yīng)用程序易于遭受攻擊而其結(jié)果對攻擊者卻不見時，就會發(fā)生所謂的盲目SQL注入式攻擊。有漏洞的網(wǎng)頁可能并不會顯示數(shù)據(jù)，而是根據(jù)注入到合法語句中的邏輯語句的結(jié)果顯示不同的內(nèi)容。這種攻擊相當(dāng)耗時，因為必須為每一個獲得的字節(jié)而精心構(gòu)造一個新的語句。盲目SQL注入式攻擊但是一旦漏洞的位置和目標(biāo)信息的位置被確立以后，一種稱為Absinthe的工具就可以使這種攻擊自動化。條件響應(yīng)注意，有一種SQL注入迫使數(shù)據(jù)庫在一個普通的應(yīng)用程序屏幕上計算一個邏輯語句的值：

SELECTbooktitleFROMbooklistWHEREbookId='OOk14cd'AND1=1

條件性差錯如果WHERE語句為真，這種類型的盲目SQL注入會迫使數(shù)據(jù)庫評判一個引起錯誤的語句，從而導(dǎo)致一個SQL錯誤。例如：

SELECT1/0FROMusersWHEREusername='Ralph'。顯然，如果用戶Ralph存在的話，被零除將導(dǎo)致錯誤。時間延誤時間延誤是一種盲目的SQL注入，根據(jù)所注入的邏輯，它可以導(dǎo)致SQL引擎執(zhí)行一個長隊列或者是一個時間延誤語句。攻擊者可以衡量頁面加載的時間，從而決定所注入的語句是否為真?？偨Y(jié)以上僅是對SQL攻擊的粗略分類。但從技術(shù)上講，如今的SQL注入攻擊者們在如何找出有漏洞的網(wǎng)站方面更加聰明，也更加全面了。出現(xiàn)了一些新型的SQL攻擊手段。黑客們可以使用各種工具來加速漏洞的利用過程。theAsproxTrojan木馬首先，通過受到控制的主機發(fā)送的垃圾郵件將此木馬安裝到電腦上然后，受到此木馬感染的電腦會下載一段二進(jìn)制代碼，在其啟動時，它會使用搜索引擎搜索用微軟的ASP技術(shù)建立表單的、有漏洞的網(wǎng)站。搜索的結(jié)果就成為SQL注入攻擊的靶子清單。theAsproxTrojan木馬接著，這個木馬會向這些站點發(fā)動SQL注入式攻擊，使有些網(wǎng)站受到控制、破壞。訪問這些受到控制和破壞的網(wǎng)站的用戶將會受到欺騙，從另外一個站點下載一段惡意的JavaScript代碼。最后，這段代碼將用戶指引到第三個站點，這里有更多的惡意軟件，如竊取口令的木馬。

防御和檢查SQL注入的手段使用參數(shù)化的過濾性語句要防御SQL注入，用戶的輸入就絕對不能直接被嵌入到SQL語句中。恰恰相反，用戶的輸入必須進(jìn)行過濾，或者使用參數(shù)化的語句。參數(shù)化的語句使用參數(shù)而不是將用戶輸入嵌入到語句中。在多數(shù)情況中，SQL語句就得以修正。然后，用戶輸入就被限于一個參數(shù)。防御和檢查SQL注入的手段還要避免使用解釋程序，因為這正是黑客們借以執(zhí)行非法命令的手段避免出現(xiàn)一些詳細(xì)的錯誤消息，因為黑客們可以利用這些消息。要使用一種標(biāo)準(zhǔn)的輸入確認(rèn)機制來驗證所有的輸入數(shù)據(jù)的長度、類型、語句、企業(yè)規(guī)則等。防御和檢查SQL注入的手段使用專業(yè)的漏洞掃描工具。如大名鼎鼎的Acunetix的Web漏洞掃描程序等。一個完善的漏洞掃描程序不同于網(wǎng)絡(luò)掃描程序，它專門查找網(wǎng)站上的SQL注入式漏洞。企業(yè)要在Web應(yīng)用程序開發(fā)過程的所有階段實施代碼的安全檢查。攻擊方法欣賞一相當(dāng)大一部分程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。如這是一個正常的網(wǎng)址http://localhost/lawjia/show.asp?ID=444，將這個網(wǎng)址提交到服務(wù)器后，服務(wù)器將進(jìn)行類似Select*from表名where字段="&ID的查詢(ID即客戶端提交的參數(shù)，本例是即444)，再將查詢結(jié)果返回給客戶端，如果這里客戶端故意提交這么一個網(wǎng)址：http://localhost/lawjia/show.asp?ID=444anduser>0，這時，服務(wù)器運行Select*from表名where字段=444anduser>0這樣的查詢，當(dāng)然，這個語句是運行不下去的，肯定出錯，錯誤信息如下：攻擊方法欣賞一·錯誤類型：

[Microsoft][ODBCSQLServerDriver][SQLServer]將nvarchar值'sonybb'轉(zhuǎn)換為數(shù)據(jù)類型為int的列時發(fā)生語法錯誤。/lawjia/show.asp,第47行

攻擊方法欣賞一但是別有用心的人從這個出錯信息中，可以獲得以下信息：該站使用MS＿SQL數(shù)據(jù)庫，用ODBC連接，連接帳號名為：sonybb。通常別有用心者的目標(biāo)是獲取網(wǎng)站管理員的帳號和密碼。比如當(dāng)某個人知道網(wǎng)站管理員帳號存在表login中，管理員帳號名為admin，他想知道管理員密碼，這里他從客戶端接著提交這樣一個網(wǎng)址：攻擊方法欣賞一http://localhost/lawjia/show.asp?ID=444and(SelectpassWordfromloginwhereuser_name=‘a(chǎn)dmin’)>0，返回的出錯信息如下：

[Microsoft][ODBCSQLServerDriver][SQLServer]將varchar