SQL注入攻击技巧与防范

SQL注入攻击危害

  • 非法读取、篡改、删除数据库中的数据
  • 盗取用户的各类敏感信息,获取利益
  • 通过修改数据库来修改网页上的内容
  • 注入木马等

写在前面

  • 在 Web1.0 时代,人们更多是关注服务器端动态脚本语言的安全问题,比如将一个可执行脚本(俗称 Webshell)通过脚本语言的漏洞上传到服务器上,从而获得服务器权限。在 Web 发展初期,随着动态脚本语言的发展和普及,以及早期工程师对安全问题认知不足导致很多” 安全血案” 的发生,至今仍然遗留下许多历史问题,比如 PHP 语言至今仍然无法从语言本身杜绝「文件包含漏洞」(参见这里),只能依靠工程师良好的代码规范和安全意识。
  • 伴随着 Web2.0、社交网络、微博等一系列新型互联网产品的兴起,基于 Web 环境的互联网应用越来越广泛,Web 攻击的手段也越来越多样,Web 安全史上的一个重要里程碑是大约 1999 年发现的 SQL 注入攻击,之后的 XSS,CSRF 等攻击手段愈发强大,Web 攻击的思路也从服务端转向了客户端,转向了浏览器和用户。

常见攻击方式

一般说来,在 Web 安全领域,常见的攻击方式大概有以下几种:
1、SQL 注入攻击
2、跨站脚本攻击 - XSS
3、跨站伪造请求攻击 - CSRF
4、文件上传漏洞攻击
5、分布式拒绝服务攻击 - DDOS

如何确定 SQL 注入漏洞

  • 黑客并不知道我们程序代码的逻辑和 SQL 语句的写法,他是如何确定一个网站是否存在 SQL 注入漏洞呢?一般说来有以下 2 种途径:
    1. 错误提示 如果目标 Web 网站开启了错误显示,攻击者就可以通过反复调整发送的参数、查看页面打印的错误信息,推测出 Web 网站使用的数据库和开发语言等重要信息。
    2. 盲注 除非运维人员疏忽,否则大部分的 Web 运营网站应该都关闭了错误提示信息,此时攻击者一般会采用盲注的技巧来进行反复的尝试判断。 仍然以上面的数据表 user 为例,我们之前的查看会员详情页面的 url 地址为userinfo.php?username=plhwin,此时黑客分别访问userinfo.php?username=plhwin' AND 1=1-- hackuserinfo.php?username=plhwin' AND 1=2-- hack,如果前者访问能返回正常的信息而后者不能,就基本可以判断此网站存在 SQL 注入漏洞,因为后者的1=2这个表达式永远不成立,所以即使 username 传入了正确的参数也无法通过,由此可以推断这个页面存在 SQL 注入漏洞,并且可以通过username参数进行注入。

如何防御 SQL 注入

  • 对于服务器配置层面的防范,应该保证生产环境的 Webserver 是关闭错误信息的,比如 PHP 在生产环境的配置文件 php.ini 中的 display_errors 应该设置为 Off,这样就关闭了错误提示,下面我们更多的从编码的角度来看看如何防范 SQL 注入。上面用两个实例分析了 SQL 注入攻击的技巧,可以看到,但凡有 SQL 注入漏洞的程序,都是因为程序要接受来自客户端用户输入的变量或 URL 传递的参数,并且这个变量或参数是组成 SQL 语句的一部分,对于用户输入的内容或传递的参数,我们应该要时刻保持警惕,这是安全领域里的「外部数据不可信任」的原则,纵观 Web 安全领域的各种攻击方式,大多数都是因为开发者违反了这个原则而导致的,所以自然能想到的,就是从变量的检测、过滤、验证下手,确保变量是开发者所预想的。

1. 检查变量数据类型和格式

  • 如果你的 SQL 语句是类似where id={$id}这种形式,数据库里所有的 id 都是数字,那么就应该在 SQL 被执行前,检查确保变量 id 是 int 类型;如果是接受邮箱,那就应该检查并严格确保变量一定是邮箱的格式,其他的类型比如日期、时间等也是一个道理。总结起来:只要是有固定格式的变量,在 SQL 语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免 SQL 注入攻击。
  • 比如,我们前面接受username参数例子中,我们的产品设计应该是在用户注册的一开始,就有一个用户名的规则,比如5-20个字符,只能由大小写字母、数字以及一些安全的符号组成,不包含特殊字符。此时我们应该有一个check_username的函数来进行统一的检查。不过,仍然有很多例外情况并不能应用到这一准则,比如文章发布系统,评论系统等必须要允许用户提交任意字符串的场景,这就需要采用过滤等其他方案了。

2. 过滤特殊符号

  • 对于无法确定固定格式的变量,一定要进行特殊符号过滤或转义处理。以 PHP 为例,通常是采用addslashes函数,它会在指定的预定义字符前添加反斜杠转义,这些预定义的字符是:单引号 (') 双引号 (") 反斜杠 (\) NULL

3. 绑定变量,使用预编译语句

数据库信息加密安全

  • 不要明文存储用户的密码,提高对用户信息安全尤其是密码安全关注,我们在防范 SQL 注入的发生的同时,也应该未雨绸缪,防止拖库。
  • 在 Web 开发中,传统的加解密大致可以分为三种:
    • 1、对称加密:即加密方和解密方都使用相同的加密算法和密钥,这种方案的密钥的保存非常关键,因为算法是公开的,而密钥是保密的,一旦密匙泄露,黑客仍然可以轻易解密。常见的对称加密算法有:AESDES等。
    • 2、非对称加密:即使用不同的密钥来进行加解密,密钥被分为公钥和私钥,用私钥加密的数据必须使用公钥来解密,同样用公钥加密的数据必须用对应的私钥来解密,常见的非对称加密算法有:RSA等。
    • 3、不可逆加密:利用哈希算法使数据加密之后无法解密回原数据,这样的哈希算法常用的有:md5SHA-1等。
  • 在我们上面登录系统的示例代码中,$md5password = md5($password);从这句代码可以看到采用了 md5 的不可逆加密算法来存储密码,这也是多年来业界常用的密码加密算法,但是这仍然不安全。为什么呢?这是因为 md5 加密有一个特点:同样的字符串经过 md5 哈希计算之后生成的加密字符串也是相同的,由于业界采用这种加密的方式由来已久,黑客们也准备了自己强大的 md5 彩虹表来逆向匹配加密前的字符串,这种用于逆向反推 MD5 加密的彩虹表在互联网上随处可见,在 Google 里使用md5 解密作为关键词搜索,一下就能找到 md5 在线破解网站,把我们插入用户数据时候的 MD5 加密字符串e10adc3949ba59abbe56e057f20f883e填入进去,瞬间就能得到加密前的密码:123456。当然也并不是每一个都能成功,但可以肯定的是,这个彩虹表会越来越完善。所以,我们有迫切的需求采用更好的方法对密码数据进行不可逆加密,通常的做法是为每个用户确定不同的密码加盐(salt)后,再混合用户的真实密码进行 md5 加密。

小结

1、不要随意开启生产环境中 Webserver 的错误显示。
2、永远不要信任来自用户端的变量输入,有固定格式的变量一定要严格检查对应的格式,没有固定格式的变量需要对引号等特殊字符进行必要的过滤转义。
3、使用预编译绑定变量的 SQL 语句。
4、做好数据库帐号权限管理。
5、严格加密处理用户的机密信息。

转载:http://www.plhwin.com/2014/06/13/web-security-sql/

参考:http://blog.csdn.net/myron_sqh/article/details/12975563

你可能感兴趣的:(Web安全)