SQL注入原理深度解析
作者:康凯 来源:asp之家 发布时间:2010-02-21 11:46:00
对于Web应用来说,注射式攻击由来已久,攻击方式也五花八门,常见的攻击方式有SQL注射、命令注射以及新近才出现的XPath注射等等。本文将以SQL注射为例,在源码级对其攻击原理进行深入的讲解。
一、注射式攻击的原理
注射式攻击的根源在于,程序命令和用户数据(即用户输入)之间没有做到泾渭分明。这使得攻击者有机会将程序命令当作用户输入的数据提交给We程序,以发号施令,为所欲为。
为了发动注射攻击,攻击者需要在常规输入中混入将被解释为命令的“数据”,要想成功,必须要做三件事情:
1.确定Web应用程序所使用的技术
注射式攻击对程序设计语言或者硬件关系密切,但是这些可以通过适当的踩点或者索性将所有常见的注射式攻击都搬出来逐个试一下就知道了。为了确定所采用的技术,攻击者可以考察Web页面的页脚,查看错误页面,检查页面源代码,或者使用诸如Nessus等工具来进行刺探。
2.确定所有可能的输入方式
Web应用的用户输入方式比较多,其中一些用户输入方式是很明显的,如HTML表单;另外,攻击者可以通过隐藏的HTML表单输入、HTTP头部、cookies、甚至对用户不可见的后端AJAX请求来跟Web应用进行交互。一般来说,所有HTTP的GET和POST都应当作用户输入。为了找出一个Web应用所有可能的用户输入,我们可以求助于Web代理,如Burp等。
3.查找可以用于注射的用户输入
在找出所有用户输入方式后,就要对这些输入方式进行筛选,找出其中可以注入命令的那些输入方式。这个任务好像有点难,但是这里有一个小窍门,那就是多多留意Web应用的错误页面,很多时候您能从这里得到意想不到的收获。
二、SQL注射原理
上面对注射攻击做了一般性的解释,下面我们以SQL注射为例进行讲解,以使读者对注射攻击有一个感性的认识,至于其他攻击,原理是一致的。
SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向Web应用输入数据,而且还可以在数据库上执行任意命令了。
三、绕过用户认证
我们这里以一个需要用户身份认证的简单的Web应用程序为例进行讲解。假定这个应用程序提供一个登录页面,要求用户输入用户名和口令。用户通过HTTP请求发送他们的用户名和口令,之后,Web应用程序检查用户传递来用户名和口令跟数据库中的用户名和口令是否匹配。这种情况下,会要求在SQL数据库中使用一个数据库表。开发人员可以通过以下SQL语句来创建表:
以下为引用的内容:
CREATETABLEuser_table(
idINTEGERPRIMARYKEY,
usernameVARCHAR(32),
passwordVARCHAR(41)
);
上面的SQL代码将建立一个表,该表由三栏组成。第一栏存放的是用户ID,如果某人经过认证,则用此标识该用户。第二栏存放的是用户名,该用户名最多由32字符组成。第三栏存放的是口令,它由用户的口令的hash值组成,因为以明文的形式来存放用户的口令实在太危险,所以通常取口令的散列值进行存放。我们将使用SQL函数PASSWORD()来获得口令的hash值,在MySQL中,函数PASSWORD()的输出由41字符组成。
对一个用户进行认证,实际上就是将用户的输入即用户名和口令跟表中的各行进行比较,如果跟某行中的用户名和口令跟用户的输入完全匹配,那么该用户就会通过认证,并得到该行中的ID。假如用户提供的用户名和口令分别为lonelynerd15和mypassword,那么检查用户ID过程如下所示:
以下为引用的内容:
SELECTidFROMuser_tableWHEREusername='lonelynerd15'ANDpassword=PASSWORD('mypassword')
如果该用户位于数据库的表中,这个SQL命令将返回该用户相应的ID,这就意味着该用户通过了认证;否则,这个SQL命令的返回为空,这意味着该用户没有通过认证。
下面是用来实现自动登录的Java代码,它从用户那里接收用户名和口令,然后通过一个SQL查询对用户进行认证:
以下为引用的内容:
Stringusername=req.getParameter("username");
Stringpassword=req.getParameter("password");
Stringquery="SELECTidFROMuser_tableWHERE"+
"username='"+username+"'AND"+
"password=PASSWORD('"+password+"')";
ResultSetrs=stmt.executeQuery(query);
intid=-1;//-1impliesthattheuserisunauthenticated.
while(rs.next()){
id=rs.getInt("id");
}
开头两行代码从HTTP请求中取得用户输入,然后在下一行开始构造一个SQL查询。执行查询,然后在while()循环中得到结果,如果一个用户名和口令对匹配,就会返回正确的ID。否则,id的值仍然为-1,这意味着用户没有通过认证。表面上看,如果用户名和口令对匹配,那么该用户通过认证;否则,该用户不会通过认证——但是,事实果真如此吗?非也!读者也许已经注意到了,这里并没有对SQL命令进行设防,所以攻击者完全能够在用户名或者口令字段中注入SQL语句,从而改变SQL查询。为此,我们仔细研究一下上面的SQL查询字符串:
猜你喜欢
- 内链:顾名思意就是在自己网站的内容中的相关文字加入链接,并且链接到网站内部的相关页面。合理的网站内空链接构造,能提高搜索引擎的收录与网站权重
- 最近使用搜索,发现排在前面的网站有不少是大网站或搜索旗下的网站,作为中小网站如何突破这一困境,用什么才可以获得流量和用户,网站是以内容为王还
- 接到这个项目时我看了他们的网站,基本上没有做SEO,搜索引擎优化也没有做,我查了一个百度,谷歌都没有收录他们的网站.接到这个项目时已经是年底
- 1、利用win2000的安全配置工具来配置策略微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务
- 我们知道Google之前有发布一份“Google搜索引擎优化指南”,而近期百度也在百度创业者俱乐部发布了官方首份“百度搜索引擎优化指南”。这
- 昨天登陆我的Google AdSense帐户发现,西联快汇已经支付,支付日期是10月30日,那么今天, 11.2日大家就可以到相
- 假设您的服务器IP是211.147.9.1061) 首先您要知道这个IP的反向域名解析是由哪台DNS服务器负责的。您可以用这个网页查询反向域
- 地方门户网站在互联网世界里方兴未艾,各个地方的门户网站“你方唱罢我登场”。最初是省级、市级的地方门户
- 1、首先当然是把网站的内容做好:但是,这里千万需要重申一点:不要一味追求“原创”,切忌不顾一切原创内
- 论坛,又名网络论坛BBS,是互联网上一种电子信息服务系统。它提供一块公共电子白板,让每个用户都可以在上面发布信息或提出看法等。其交互性较强,
- 用dede实现拼音显示文章标题页文件名如题,使用dede让文章标题页显示路径为标题拼音.html,例如:文章标题为:站友网是什么啊,文章路径
- Google对于公司的内部运作一向口风很紧,但是也确有少数消息可能会被无意中透露出来。Google负责搜索品质监督的副总裁Udi Manbe
- 今天上午闲来没事,写了一下自己几年来建站回忆录,发现鱼给加了16分!还差4分就落伍了,干脆在写一下论坛运营和管理上的一些经验! 希望今天就能
- HostNine 成立于2006年,至今仅仅发展了2年的时间,是一家十分年轻的虚拟主机服务商,HostNine是一个充满活力的年轻公司。作为
- 很多人反映,adsense电话确认有时候是中文的,有时候是英文的,当是英文的时候,有些英文不好的站长就有些麻烦了。这里为大家找了英文语音电话
- 今天在浏览一个博客时,突然看到一句话“成功就是不断重复地做简单的事”,不禁让我联想起咱们做站何尝不是这样:记得刚开始做站的时候,总是不停地到
- 自从开通这一功能后,陆续有不少WordPress爱好者问我博客上的“支持”、“反对”是怎么实现的。我想不少人都知道这一功能是把“牛#博”中的
- 本文代码摘自Low End Box,LEB的站长因为成功搭建了80M的WEB环境而被业内传为佳话,这一次他懒惰,不想长篇大论,就
- etang最近服务器出问题了,看看,这个曾经获得过接近5000万美金风险投资的网站,今天孤零零的只剩下大学四六级查分的工具了。etang曾经
- 国际在线专稿:据英国《每日邮报》报道,为帮助慈善公益事业,伦敦的24名互联网企业家近日慷慨地宽衣解带,拍摄了一组近乎裸体的慈善挂历。这套挂历