web滲透測試–防sql注入
- 2019 年 10 月 6 日
- 筆記
所謂SQL注入,就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令,比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字元暴出的,這類表單特別容易受到SQL注入式攻擊.
什麼時候最易受到sql注入攻擊
當應用程式使用輸入內容來構造動態sql語句以訪問資料庫時,會發生sql注入攻擊。如果程式碼使用存儲過程,而這些存儲過程作為包含未篩選的用戶輸入的 字元串來傳遞,也會發生sql注入。sql注入可能導致攻擊者使用應用程式登陸在資料庫中執行命令。如果應用程式使用特權過高的帳戶連接到資料庫,這種問 題會變得很嚴重。在某些表單中,用戶輸入的內容直接用來構造動態sql命令,或者作為存儲過程的輸入參數,這些表單特別容易受到sql注入的攻擊。而許多 網站程式在編寫時,沒有對用戶輸入的合法性進行判斷或者程式中本身的變數處理不當,使應用程式存在安全隱患。這樣,用戶就可以提交一段資料庫查詢的程式碼, 根據程式返回的結果,獲得一些敏感的資訊或者控制整個伺服器,於是sql注入就發生了。
如何防止SQL注入
歸納一下,主要有以下幾點:
1.永遠不要信任用戶的輸入。對用戶的輸入進行校驗,可以通過正則表達式,或限制長度;對單引號和
雙"-"進行轉換等。
2.永遠不要使用動態拼裝sql,可以使用參數化的sql或者直接使用存儲過程進行數據查詢存取。
3.永遠不要使用管理員許可權的資料庫連接,為每個應用使用單獨的許可權有限的資料庫連接。
4.不要把機密資訊直接存放,加密或者hash掉密碼和敏感的資訊。
5.應用的異常資訊應該給出儘可能少的提示,最好使用自定義的錯誤資訊對原始錯誤資訊進行包裝
6.sql注入的檢測方法一般採取輔助軟體或網站平台來檢測,軟體一般採用sql注入檢測工具jsky,網站平台就有億思網站安全平台檢測工具。
例子一、SQL注入實例詳解(以上測試均假設伺服器未開啟magic_quote_gpc)
1) 前期準備工作
先來演示通過SQL注入漏洞,登入後台管理員介面
首先,創建一張試驗用的數據表:
CREATE TABLE `users` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`email` varchar(64) NOT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `username` (`username`)
) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;
添加一條記錄用於測試:
INSERT INTO users (username,password,email)
VALUES('MarcoFly',md5('test'),'[email protected]');
接下來,貼上登錄介面的源程式碼:
<html> <head> <title>Sql注入演示</title> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head>
<body > <form action="validate.php" method="post"> <fieldset > <legend>Sql注入演示</legend> <table> <tr> <td>用戶名:</td> <td><input type="text" name="username"></td> </tr> <tr> <td>密 碼:</td> <td><input type="text" name="password"></td> </tr> <tr> <td><input type="submit" value="提交"></td> <td><input type="reset" value="重置"></td> </tr> </table> </fieldset> </form> </body> </html>
當用戶點擊提交按鈕的時候,將會把表單數據提交給validate.php頁面,validate.php頁面用來判斷用戶輸入的用戶名和密碼有沒有都符合要求(這一步至關重要,也往往是SQL漏洞所在)
程式碼如下:
<html> <head> <title>登錄驗證</title> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head>
<body> <?php
$conn=@mysql_connect("localhost",'root','') or die("資料庫連接失敗!");;
mysql_select_db("injection",$conn) or die("您要選擇的資料庫不存在");
$name=$_POST['username'];
$pwd=$_POST['password'];
$sql="select * from users where username='$name' and password='$pwd'";
$query=mysql_query($sql);
$arr=mysql_fetch_array($query);
if(is_array($arr)){
header("Location:manager.php");
}else{
echo "您的用戶名或密碼輸入有誤,<a href="Login.php">請重新登錄!</a>";
}
?> </body> </html>
注意到了沒有,我們直接將用戶提交過來的數據(用戶名和密碼)直接拿去執行,並沒有實現進行特殊字元過濾,待會你們將明白,這是致命的。
程式碼分析:如果,用戶名和密碼都匹配成功的話,將跳轉到管理員操作介面(manager.php),不成功,則給出友好提示資訊。
2) 構造SQL語句
填好正確的用戶名(marcofly)和密碼(test)後,點擊提交,將會返回給我們「歡迎管理員」的介面。
select * from users where username='marcofly' and password=md5('test')
很明顯,用戶名和密碼都和我們之前給出的一樣,肯定能夠成功登陸。但是,如果我們輸入一個錯誤的用戶名或密碼呢?很明顯,肯定登入不了吧。恩,正常情況下是如此,但是對於有SQL注入漏洞的網站來說,只要構造個特殊的「字元串」,照樣能夠成功登錄。
比如:在用戶名輸入框中輸入:』 or 1=1#,密碼隨便輸入,這時候的合成後的SQL查詢語句為:
select * from users where username='' or 1=1#' and password=md5('')
語義分析:「#」在mysql中是注釋符,這樣井號後面的內容將被mysql視為注釋內容,這樣就不會去執行了,換句話說,以下的兩句sql語句等價:
select * from users where username='' or 1=1#' and password=md5('')
等價於
select * from users where username='' or 1=1
SQL注入採用的' OR 1=1 # 是什麼意思呢?
最後一個#號有什麼意義呢? SELECT * FROM test WHERE name='' OR 1=1 #' AND age='20' 這後面寫的 #' 是什麼意思呢? 求指教 # 可以注釋掉後面的一行SQL程式碼 相當於去掉了一個where條件
MySQL 注釋, 過濾掉後面的SQL語句,使其不起作用
因為1=1永遠是都是成立的,即where子句總是為真,將該sql進一步簡化之後,等價於如下select語句:
select * from users 沒錯,該sql語句的作用是檢索users表中的所有欄位
小技巧:一個經構造後的sql語句竟有如此可怕的破壞力,相信你看到這後,開始對sql注入有了一個理性的認識了吧~
有漏洞的腳本才有機會給你攻擊,比如一個帶參數的刪除腳本a.asp?action=del&id=2你可以改為a.asp?action=del&id=2 or 1這樣就有可能刪除全部數據——sql注入就是通過類似的手段來破壞數據.
現在大家已經對SQL Injection的攻擊有了初步的了解了,接下讓我們學習如何防止SQL Injection。
總的來說有以下幾點:
1.永遠不要信任用戶的輸入,要對用戶的輸入進行校驗,可以通過正則表達式,或限制長度,對單引號和雙"-"進行轉換等。 2.永遠不要使用動態拼裝SQL,可以使用參數化的SQL或者直接使用存儲過程進行數據查詢存取。 3.永遠不要使用管理員許可權的資料庫連接,為每個應用使用單獨的許可權有限的資料庫連接。
