SQL注入原理(轉)
來源:程序員人生 發布時間:2014-09-11 18:06:28 閱讀次數:3334次
1.1.1 摘要
日前���,國內最大的程序員社區CSDN網站的用戶數據庫被黑客公開發布���,600萬用戶的登錄名及密碼被公開泄露�����,隨后又有多家網站的用戶密碼被流傳于網絡�����,連日來引發眾多網民對自己賬號�����、密碼等互聯網信息被盜取的普遍擔憂。
網絡安全成為了現在互聯網的焦點�,這也恰恰觸動了每一位用戶的神經���,由于設計的漏洞導致了不可收拾的惡果,驗證了一句話“出來混的���,遲早是要還的”,所以我想通過專題博文介紹一些常用的攻擊技術和防范策略��。
SQL Injection也許很多人都知道或者使用過�,如果沒有了解或完全沒有聽過也沒有關系,因為接下來我們將介紹SQL Injection�。
1.1.2 正文
SQL Injection:就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串�����,最終達到欺騙服務器執行惡意的SQL命令。
具體來說���,它是利用現有應用程序,將(惡意)的SQL命令注入到后臺數據庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的數據庫,而不是按照設計者意圖去執行SQL語句���。
首先讓我們了解什么時候可能發生SQL Injection��。
假設我們在瀏覽器中輸入URL www.sample.com,由于它只是對頁面的簡單請求無需對數據庫動進行動態請求����,所以它不存在SQL Injection��,當我們輸入www.sample.com?testid=23時,我們在URL中傳遞變量testid�����,并且提供值為23����,由于它是對數據庫進行動態查詢的請求(其中?testid=23表示數據庫查詢變量),所以我們可以該URL中嵌入惡意SQL語句����。
現在我們知道SQL Injection適用場合,接下來我們將通過具體的例子來說明SQL Injection的應用�����,這里我們以pubs數據庫作為例子��。
我們通過Web頁面查詢job表中的招聘信息����,job表的設計如下:
圖1 jobs表
接著讓我們實現Web程序�����,它根據工作Id(job_id)來查詢相應的招聘信息����,示意代碼如下:
/// ///Handles the Load event of the Page control./// ///The source of the event. ///Theinstance containing the event data.protected voidPage_Load(
objectsender,
EventArgse) {
if(!IsPostBack) {
// Gets departmentId from http request.stringqueryString = Request.QueryString[
"departmentID"];
if(!
string.IsNullOrEmpty(queryString)) {
// Gets data from database.gdvData.DataSource = GetData(queryString.Trim());
// Binds data to gridview.gdvData.DataBind(); } } }
現在我們已經完成了Web程序��,接下來讓我們查詢相應招聘信息吧���。
圖2 job表查詢結果
如圖所示�����,我們要查詢數據庫中工作Id值為1的工作信息,而且在頁面顯示了該工作的Id����,Description�����,Min Lvl和Max Lvl等信息��。
現在要求我們實現根據工作Id查詢相應工作信息的功能��,想必大家很快可以給出解決方案,SQL示意代碼如下:
SELECTjob_id,job_desc,min_lvl,max_lvlFROMjobsWHERE(job_id=1)
假設現在要求我們獲取Department表中的所有數據�����,而且必須保留WHERE語句��,那我們只要確保WHERE恒真就OK了�����,SQL示意代碼如下:
SELECT job_id, job_desc, min_lvl, max_lvlFROM jobs WHERE(job_id = 1) OR 1 = 1
上面我們使得WHERE恒真,所以該查詢中WHERE已經不起作用了,其查詢結果等同于以下SQL語句���。
SELECT job_id, job_desc, min_lvl, max_lvlFROM jobs
SQL查詢代碼實現如下:
stringsql1 =string.Format("SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id='{0}'", jobId);
現在我們要通過頁面請求的方式,讓數據庫執行我們的SQL語句,我們要在URL中嵌入惡意表達式1=1(或2=2等等)�����,如下URL所示:
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or'1'='1
等效SQL語句如下:
SELECTjob_id,job_desc,min_lvl,max_lvlFROMjobsWHEREjob_id='1'OR'1'=1'
圖3 job表查詢結果
現在我們把job表中的所有數據都查詢出來了,僅僅通過一個簡單的恒真表達式就可以進行了一次簡單的攻擊。
雖然我們把job表的數據都查詢出來了��,但數據并沒有太大的價值���,由于我們把該表臨時命名為job表�����,所以接著我們要找出該表真正表名�。
首先我們假設表名就是job���,然后輸入以下URL:
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or 1=(select count(*) from job)--
等效SQL語句如下:
SELECTjob_id,job_desc,min_lvl,max_lvlFROMjobsWHEREjob_id='1'or1=(selectcount(*)fromjob)--'
圖4 job表查詢結果
當我們輸入了以上URL后����,結果服務器返回我們錯誤信息���,這證明了我們的假設是錯誤的�,那我們該感覺到挫敗嗎?不,其實這里返回了很多信息�����,首先它證明了該表名不是job��,而且它還告訴我們后臺數據庫是SQL Server�,不是MySQL或Oracle�����,這也設計一個漏洞把錯誤信息直接返回給了用戶�����。
接下假定表名是jobs,然后輸入以下URL:
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or1=(select count(*) from jobs) --
等效SQL語句如下:
SELECTjob_id,job_desc,min_lvl,max_lvlFROMjobsWHEREjob_id='1'or1=(selectcount(*)fromjobs)--'
圖5 job表查詢結果
現在證明了該表名是jobs���,這可以邁向成功的一大步,由于我們知道了表名就可以對該表進行增刪改操作了���,而且我們還可以猜測出更多的表對它們作出修改,一旦修改成功那么這將是一場災難��。
現在大家已經對SQL Injection的攻擊有了初步的了解了�����,接下讓我們學習如何防止SQL Injection����。
總的來說有以下幾點:
1.永遠不要信任用戶的輸入��,要對用戶的輸入進行校驗,可以通過正則表達式�,或限制長度����,對單引號和雙"-"進行轉換等���。
2.永遠不要使用動態拼裝SQL����,可以使用參數化的SQL或者直接使用存儲過程進行數據查詢存取。
3.永遠不要使用管理員權限的數據庫連接�����,為每個應用使用單獨的權限有限的數據庫連接�。
4.不要把機密信息明文存放,請加密或者hash掉密碼和敏感的信息��。
5.應用的異常信息應該給出盡可能少的提示��,最好使用自定義的錯誤信息對原始錯誤信息進行包裝�����,把異常信息存放在獨立的表中�����。
通過正則表達校驗用戶輸入
首先我們可以通過正則表達式校驗用戶輸入數據中是包含:對單引號和雙"-"進行轉換等字符。
然后繼續校驗輸入數據中是否包含SQL語句的保留字�����,如:WHERE��,EXEC,DROP等���。
現在讓我們編寫正則表達式來校驗用戶的輸入吧,正則表達式定義如下:
private static readonlyRegexRegSystemThreats =newRegex(@"s?ors*|s?;s?|s?drops|s?grants|^'|s?--|s?unions|s?deletes|s?truncates|"+@"s?sysobjectss?|s?xp_.*?|s?sysloginss?|s?sysremotes?|s?sysuserss?|s?sysxloginss?|s?sysdatabasess?|s?aspnet_.*?|s?execs?",RegexOptions.Compiled |RegexOptions.IgnoreCase);
上面我們定義了一個正則表達式對象RegSystemThreats����,并且給它傳遞了校驗用戶輸入的正則表達式�����。
由于我們已經完成了對用戶輸入校驗的正則表達式了,接下來就是通過該正則表達式來校驗用戶輸入是否合法了�����,由于.NET已經幫我們實現了判斷字符串是否匹配正則表達式的方法――IsMatch()����,所以我們這里只需給傳遞要匹配的字符串就OK了。
示意代碼如下:
/// ///A helper method to attempt to discover [known] SqlInjection attacks./// ///string of the whereClause to check /// true if found, false if not foundpublic static boolDetectSqlInjection(
stringwhereClause) {
returnRegSystemThreats.IsMatch(whereClause); }
/// ///A helper method to attempt to discover [known] SqlInjection attacks./// ///string of the whereClause to check ///string of the orderBy clause to check /// true if found, false if not foundpub
生活不易,碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈
