對于Web應用來說，注射式攻擊由來已久，攻擊方式也五花八門，常見的攻擊方式有SQL注射、命令注射以及新近才出現的XPath注射等等。本文將以SQL注射為例，在源碼級對其攻擊原理進行深入的講解。

一、注射式攻擊的原理

注射式攻擊的根源在于，程序命令和用戶數據（即用戶輸入）之間沒有做到涇渭分明。這使得攻擊者有機會將程序命令當作用戶輸入的數據提交給We程序，以發號施令，為所欲為。

為了發動注射攻擊，攻擊者需要在常規輸入中混入將被解釋為命令的“數據”，要想成功，必須要做三件事情：

1.確定Web應用程序所使用的技術

注射式攻擊對程序設計語言或者硬件關系密切，但是這些可以通過適當的踩點或者索性將所有常見的注射式攻擊都搬出來逐個試一下就知道了。為了確定所采用的技術，攻擊者可以考察Web頁面的頁腳，查看錯誤頁面，檢查頁面源代碼，或者使用諸如Nessus等工具來進行刺探。

2.確定所有可能的輸入方式

Web應用的用戶輸入方式比較多，其中一些用戶輸入方式是很明顯的，如HTML表單；另外，攻擊者可以通過隱藏的HTML表單輸入、HTTP頭部、cookies、甚至對用戶不可見的后端AJAX請求來跟Web應用進行交互。一般來說，所有HTTP的GET和POST都應當作用戶輸入。為了找出一個Web應用所有可能的用戶輸入，我們可以求助于Web代理，如Burp等。

3.查找可以用于注射的用戶輸入

在找出所有用戶輸入方式后，就要對這些輸入方式進行篩選，找出其中可以注入命令的那些輸入方式。這個任務好像有點難，但是這里有一個小竅門，那就是多多留意Web應用的錯誤頁面，很多時候您能從這里得到意想不到的收獲。

二、SQL注射原理

上面對注射攻擊做了一般性的解釋，下面我們以SQL注射為例進行講解，以使讀者對注射攻擊有一個感性的認識，至于其他攻擊，原理是一致的。

SQL注射能使攻擊者繞過認證機制，完全控制遠程服務器上的數據庫。SQL是結構化查詢語言的簡稱，它是訪問數據庫的事實標準。目前，大多數Web應用都使用SQL數據庫來存放應用程序的數據。幾乎所有的Web應用在后臺都使用某種SQL數據庫。跟大多數語言一樣，SQL語法允許數據庫命令和用戶數據混雜在一起的。如果開發人員不細心的話，用戶數據就有可能被解釋成命令，這樣的話，遠程用戶就不僅能向Web應用輸入數據，而且還可以在數據庫上執行任意命令了。

三、繞過用戶認證

我們這里以一個需要用戶身份認證的簡單的Web應用程序為例進行講解。假定這個應用程序提供一個登錄頁面，要求用戶輸入用戶名和口令。用戶通過HTTP請求發送他們的用戶名和口令，之后，Web應用程序檢查用戶傳遞來用戶名和口令跟數據庫中的用戶名和口令是否匹配。這種情況下，會要求在SQL數據庫中使用一個數據庫表。開發人員可以通過以下SQL語句來創建表：

CREATETABLEuser_table(

idINTEGERPRIMARYKEY,

usernameVARCHAR(32),

passwordVARCHAR(41)

);

上面的SQL代碼將建立一個表，該表由三欄組成。第一欄存放的是用戶ID，如果某人經過認證，則用此標識該用戶。第二欄存放的是用戶名，該用戶名最多由32字符組成。第三欄存放的是口令，它由用戶的口令的hash值組成，因為以明文的形式來存放用戶的口令實在太危險，所以通常取口令的散列值進行存放。我們將使用SQL函數PASSWORD（）來獲得口令的hash值，在MySQL中，函數PASSWORD（）的輸出由41字符組成。

對一個用戶進行認證，實際上就是將用戶的輸入即用戶名和口令跟表中的各行進行比較，如果跟某行中的用戶名和口令跟用戶的輸入完全匹配，那么該用戶就會通過認證，并得到該行中的ID。假如用戶提供的用戶名和口令分別為lonelynerd15和mypassword，那么檢查用戶ID過程如下所示：

SELECTidFROMuser_tableWHEREusername='lonelynerd15'ANDpassword=PASSWORD('mypassword')

如果該用戶位于數據庫的表中，這個SQL命令將返回該用戶相應的ID，這就意味著該用戶通過了認證；否則，這個SQL命令的返回為空，這意味著該用戶沒有通過認證。

下面是用來實現自動登錄的Java代碼，它從用戶那里接收用戶名和口令，然后通過一個SQL查詢對用戶進行認證：

Stringusername=req.getParameter("username");

Stringpassword=req.getParameter("password");

Stringquery="SELECTidFROMuser_tableWHERE"+

"username='"+username+"'AND"+

"password=PASSWORD('"+password+"')";

ResultSetrs=stmt.executeQuery(query);

intid=-1;//-1impliesthattheuserisunauthenticated.

while(rs.next()){

id=rs.getInt("id");

}

開頭兩行代碼從HTTP請求中取得用戶輸入，然后在下一行開始構造一個SQL查詢。執行查詢，然后在while（）循環中得到結果，如果一個用戶名和口令對匹配，就會返回正確的ID。否則，id的值仍然為-1，這意味著用戶沒有通過認證。表面上看，如果用戶名和口令對匹配，那么該用戶通過認證；否則，該用戶不會通過認證——但是，事實果真如此嗎？非也！讀者也許已經注意到了，這里并沒有對SQL命令進行設防，所以攻擊者完全能夠在用戶名或者口令字段中注入SQL語句，從而改變SQL查詢。為此，我們仔細研究一下上面的SQL查詢字符串：

Stringquery="SELECTidFROMuser_tableWHERE"+

"username='"+username+"'AND"+

"password=PASSWORD('"+password+"')";

上述代碼認為字符串username和password都是數據，不過，攻擊者卻可以隨心所欲地輸入任何字符。如果一位攻擊者輸入的用戶名為

’OR1=1—

而口令為

x

那么查詢字符串將變成下面的樣子：

SELECTidFROMuser_tableWHEREusername=''OR1=1--'ANDpassword

=PASSWORD('x')

該雙劃符號--告訴SQL解析器，右邊的東西全部是注釋，所以不必理會。這樣，查詢字符串相當于：

SELECTidFROMuser_tableWHEREusername=''OR1=1

如今的SELECT語句跟以前的已經大相徑庭了，因為現在只要用戶名為長度為零的字符串''或1=1這兩個條件中一個為真，就返回用戶標識符ID——我們知道，1=1是恒為真的。所以這個語句將返回user_table中的所有ID。在此種情況下，攻擊者在username字段放入的是SQL指令'OR1=1--而非數據。