概述
SQL注入:发生于应用程序与数据库之间的安全漏洞。
简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。只要是支持批处理SQL指令的数据库服务器,都有可能受到此种手法的攻击。
出现原因
在应用程序中若有下列状况,则可能应用程序正暴露在SQL Injection的高风险情况下:
1.在应用程序中使用字符串联结方式或联合查询方式组合SQL指令。
2.在应用程序链接数据库时使用权限过大的账户(例如很多开发人员都喜欢用最高权限的系统管理员账户(如常见的root,sa等)连接数据库)。
3.在数据库中开放了不必要但权力过大的功能(例如在Microsoft SQL Server数据库中的xp_cmdshell延伸存储程序或是OLE Automation存储程序等)。
4.太过于信任用户所输入的数据,未限制输入的特殊字符,以及未对用户输入的数据做潜在指令的检查。
攻击原理
1.SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)。
2.SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库中,则视为字符串中的一个单引号字符)。
3.SQL命令中,可以注入注解(连续2个减号字符 -- 后的文字为注解,或“/*”与“*/”所包起来的文字为注解)。
4.因此,如果在组合SQL的命令字符串时,未针对单引号字符作转义处理的话,将导致该字符变量在填入命令字符串时,被恶意窜改原本的SQL语法的作用。
防护
1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和
双"-"进行转换等。
2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。
6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。
注入示例
1.登入页面进行简单SQL攻击
用户名:' or 1=1 - -
密码:xxxx //任意输入
假设登录页面如上所示
SELECT * FROM users WHERE username = 'admin' AND password = 'passwd'
假设的ASP代码为
var sql = "SELECT * FROM users WHERE username = ' " + formusr + " ' AND password = ' " + formpwd + " ' ";
当输入上面的用户名密码后实际的查询代码是:
SELECT * FROM users WHERE username = ' ' or 1=1 -- AND password = ' xxxx '
解释:--是单行注释提示符,上面的语句因为1=1导致SQL语句恒成立,所以可以登入后台
--也可以用#代替
不过这种sql注入方式现在的网站一般都有过滤 ,可行性不大。
2.URL修改参数进行注入攻击
这里使用一个SQL在线注入学习平台进行练习。闯关式训练,简单介绍less-1。
按照提示主键为"ID"
初步注入即在参数id后面加上一个单引号" ' ",查看结果
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' '1' ' LIMIT 0,1 ' at line 1
即:' '$id' LIMIT 0,1 '
由此返回语法错误信息可以判断sql提交语句为:
$sql = " select * from users where id = '$id' LIMIT 0,1 ";
由此提交语句可见 id = '$id',即把输入的'id'当做字符串处理,取从头开始的最长数字且类型转换为整形进行查询。
后面还有各种类型的提交代码提供测试,这边就不一 一介绍了,点击网站地址练习。
3.借助工具进行注入攻击(Pangolin)
链接:pangolin3.2.4破解版百度云盘地址
提取码:dbd2
下载后直接解压运行即可。
我自己用python搭建的网页环境注入效果如下:
具体表数据也可以获取
相比于前两种,用工具更加节省时间,效率更高。