1. 程式人生 > >Web常見安全漏洞-SQL註入

Web常見安全漏洞-SQL註入

如何 編碼 查詢 數據格式 很多 inpu 獲得 injection data

技術分享圖片

SQL註入攻擊(SQL Injection),簡稱註入攻擊,是Web開發中最常見的一種安全漏洞。 可以用它來從數據庫獲取敏感信息,或者利用數據庫的特性執行添加用戶,導出文件等一系列惡意操作, 甚至有可能獲取數據庫乃至系統用戶最高權限。

而造成SQL註入的原因是因為程序沒有有效過濾用戶的輸入,使攻擊者成功的向服務器提交惡意的SQL查詢代碼, 程序在接收後錯誤的將攻擊者的輸入作為查詢語句的一部分執行,導致原始的查詢邏輯被改變, 額外的執行了攻擊者精心構造的惡意代碼。

技術分享圖片

SQL註入實例

很多Web開發者沒有意識到SQL查詢是可以被篡改的,從而把SQL查詢當作可信任的命令。 殊不知,SQL查詢是可以繞開訪問控制,從而繞過身份驗證和權限檢查的。更有甚者,有可能通過SQL查詢去運行主機系統級的命令。

下面將通過一些真實的例子來詳細講解SQL註入的方式。

考慮以下簡單的登錄表單:

<form action="/login" method="POST">

<p>Username: <input type="text" name="username" /></p>

<p>Password: <input type="password" name="password" /></p>

<p><input type="submit" value="登陸" /></p>

</form>

我們的處理裏面的SQL可能是這樣的:

String username = request.get("username");
String password = request.get("password");
String sql = "SELECT * FROM user WHERE username=‘"+username+"‘ AND password=‘"+password+"‘";

如果用戶的輸入的用戶名如下,密碼任意:

myuser‘ or ‘foo‘ = ‘foo‘ --

那麽我們的SQL變成了如下所示:

SELECT * FROM user WHERE username=‘myuser‘ or ‘foo‘ = ‘foo‘ --‘‘ AND password=‘xxx‘

在SQL裏面–是註釋標記,所以查詢語句會在此中斷。這就讓攻擊者在不知道任何合法用戶名和密碼的情況下成功登錄了。

對於MSSQL還有更加危險的一種SQL註入,就是控制系統, 下面這個可怕的例子將演示如何在某些版本的MSSQL數據庫上執行系統命令:

sql:="SELECT * FROM products WHERE name LIKE ‘%"+prod+"%‘"
Db.Exec(sql)

如果攻擊提交 a%‘ exec master..xp_cmdshell ‘net user test testpass /ADD‘ -- 作為變量 prod的值,那麽sql將會變成

sql:="SELECT * FROM products WHERE name LIKE ‘%a%‘ exec master..xp_cmdshell ‘net user test testpass /ADD‘--%‘"

MSSQL服務器會執行這條SQL語句,包括它後面那個用於向系統添加新用戶的命令。 如果這個程序是以sa運行而 MSSQLSERVER服務又有足夠的權限的話,攻擊者就可以獲得一個系統帳號來訪問主機了。

對其他數據庫也有類似的攻擊。

如何預防SQL註入

永遠不要信任外界輸入的數據,特別是來自於用戶的數據,包括選擇框、表單隱藏域和 cookie。 就如上面的第一個例子那樣,就算是正常的查詢也有可能造成災難。

下面這些建議或許對防治SQL註入有一定的幫助:

  1. 嚴格限制Web應用的數據庫的操作權限,給此用戶提供僅僅能夠滿足其工作的最低權限,從而最大限度的減少註入攻擊對數據庫的危害。
  2. 檢查輸入的數據是否具有所期望的數據格式,嚴格限制變量的類型,例如使用regexp包進行一些匹配處理, 或者使用strconv包對字符串轉化成其他基本類型的數據進行判斷。
  3. 對進入數據庫的特殊字符(’”尖括號&*;等)進行轉義處理,或編碼轉換。
  4. 所有的查詢語句建議使用數據庫提供的參數化查詢接口,參數化的語句使用參數而不是將用戶輸入變量嵌入到SQL語句中, 比如Java中的PrepareStatement。
  5. 在應用發布之前建議使用專業的SQL註入檢測工具進行檢測, 以及時修補被發現的SQL註入漏洞。網上有很多這方面的開源工具,例如sqlmap、SQLninja等。
  6. 避免網站打印出SQL錯誤信息,比如類型錯誤、字段不匹配等,把代碼裏的SQL語句暴露出來,以防止攻擊者利用這些錯誤信息進行SQL註入。
技術分享圖片

總結

SQL註入是危害相當大的安全漏洞。所以對於我們平常編寫的Web應用,應該對於每一個小細節都要非常重視。

Web常見安全漏洞-SQL註入