寻找SQL注入点

如果要对一个网站进行SQL注入攻击，首先就需要找到存在SQL注入漏洞的地方，也就是寻找所谓的注入点。可能的SQL注入点一般存在于登录页面、查找页面或添加页面等用户可以查找或修改数据的地方。

　　最常用的寻找SQL注入点的方法，是在网站中寻找如下形式的页面链接：http://www.xxx.com/xxx.asp?id=YY

　　其中“YY”可能是数字，也有可能是字符串，分别被称为整数类型数据或者字符型数据。在本章中我们主要针对整数型数据进行SQL注入讲解。

　　通常可以使用以下两种方法进行检测，判断该页面链接是否存在SQL注入漏洞。

步骤/方法

1. 1

   .“加引号”法

   　　在浏览器地址栏中的页面链接地址后面增加一个单引号，如下所示：

   　　http://www.xxx.com/xxx.asp?id=YY’

   　　然后访问该链接地址，浏览器可能会返回类似于下面的错误提示信息：

   　　Microsoft JET Database Engine 错误’80040e14’

   　　字符串的语法错误在查询表达式’ID=YY’中。

   　　/xxx.asp 行8

   　　如图1.3所示，页面中如果返回了类似的错误信息，说明该网站可能存在SQL注入攻击的漏洞。

   
2. 2

   .“1=1和1=2”法

   　　“加引号”法很直接，也很简单，但是对SQL注入有一定了解的程序员在编写程序时，都会将单引号过滤掉。如果再使用单引号测试，就无法检测到注入点了。这时，就可以使用经典的“1=1和1=2”法进行检测。

   　　如果正常页面链接地址为：http://www.xxx.com/xxx.asp?id=YY，在浏览器中分别输入以下两个链接地址，分别查看它们返回的结果值。

   　　Ø http://www.xxx.com/xxx.asp?id=YY and 1=1。

   　　Ø http://www.xxx.com/xxx.asp?id=YY and 1=2。

   　　如果存在注入点的话，浏览器将会分别显示为：

   　　Ø 正常显示，内容与正常页面显示的结果基本相同。

   　　Ø 提示BOF或EOF(程序没做任何判断时)，或提示找不到记录，或显示内容为空(程序加了on error resume next)，如图1.4所示。

   　　如果没有注入点的存在，也很容易判断。

   　　上述两种链接一般都会有程序定义的错误提示，或提示类型转换时出错。

   
   END

注意事项

• 可能的SQL注入点一般存在于登录页面、查找页面或添加页面等用户可以查找或修改数据的地方

登陆事例SQL注入：

因为根据我们提交的用户名和密码被合成到SQL查询语句当中之后是这样的：

select * from users where username='marcofly' and password=md5('test')

很明显，用户名和密码都和我们之前给出的一样，肯定能够成功登陆。但是，如果我们输入一个错误的用户名或密码呢？很明显，肯定登入不了吧。恩，正常情况下是如此，但是对于有SQL注入漏洞的网站来说，只要构造个特殊的“字符串”，照样能够成功登录。

比如：在用户名输入框中输入：'or 1=1#,密码随便输入，这时候的合成后的SQL查询语句为：

select * from users where username='' or 1=1#' and password=md5('')

语义分析：“#”在mysql中是注释符，这样井号后面的内容将被mysql视为注释内容，这样就不会去执行了，换句话说，以下的两句sql语句等价：

select * from users where username='' or 1=1#' and password=md5('')

等价于

select * from users where username='' or 1=1

因为1=1永远是都是成立的，即where子句总是为真，将该sql进一步简化之后，等价于如下select语句：

select * from users

没错，该sql语句的作用是检索users表中的所有字段

小技巧：如果不知道 'or 1=1#中的单引号的作用，可以自己echo 下sql语句，就一目了然了。