本文簡要介紹了SQL注入攻擊的原理,SQL注入攻擊實(shí)現(xiàn)過程,并在此基礎(chǔ)上給出了一種SQL注入攻擊的自動防范模型。
1 SQL注入攻擊概述
1.1 SQL注入技術(shù)定義
SQL注入(SQL Injection)技術(shù)在國外最早出現(xiàn)在1999年,我國在2002年后開始大量出現(xiàn),目前沒有對SQL注入技術(shù)的標(biāo)準(zhǔn)定義,微軟中國技術(shù)中心從2個方面進(jìn)行了描述:
(1)腳本注入式的攻擊
(2)惡意用戶輸入用來影響被執(zhí)行的SQL腳本
Chris Anley將SQL注入定義為,攻擊者通過在查詢操作中插入一系列的SQL語句到應(yīng)用程序中來操作數(shù)據(jù)。Stephen Kost[3]給出了SQL注入的一個特征,“從一個數(shù)據(jù)庫獲得未經(jīng)授權(quán)的訪問和直接檢索”。利用SQL注入技術(shù)來實(shí)施網(wǎng)絡(luò)攻擊常稱為SQL注入攻擊,其本質(zhì)是利用Web應(yīng)用程序中所輸入的SQL語句的語法處理,針對的是Web應(yīng)用程序開發(fā)者編程過程中未對SQL語句傳入的參數(shù)做出嚴(yán)格的檢查和處理所造成的。習(xí)慣上將存在SQL注入點(diǎn)的程序或者網(wǎng)站稱為SQL注入漏洞。實(shí)際上,SQL注入是存在于有數(shù)據(jù)庫連接的應(yīng)用程序中的一種漏洞,攻擊者通過在應(yīng)用程序中預(yù)先定義好的查詢語句結(jié)尾加上額外的SQL語句元素,欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的查詢。這類應(yīng)用程序一般是基于Web的應(yīng)用程序,它允許用戶輸入查詢條件,并將查詢條件嵌入SQL請求語句中,發(fā)送到與該應(yīng)用程序相關(guān)聯(lián)的數(shù)據(jù)庫服務(wù)器中去執(zhí)行。通過構(gòu)造一些畸形的輸入,攻擊者能夠操作這種請求語句去獲取預(yù)先未知的結(jié)果。
1.2 SQL注入攻擊特點(diǎn)
SQL注入攻擊是目前網(wǎng)絡(luò)攻擊的主要手段之一,在一定程度上其安全風(fēng)險高于緩沖區(qū)溢出漏洞,目前防火墻不能對SQL注入漏洞進(jìn)行有效地防范。防火墻為了使合法用戶運(yùn)行網(wǎng)絡(luò)應(yīng)用程序訪問服務(wù)器端數(shù)據(jù),必須允許從Internet到Web服務(wù)器的正向連接,因此一旦網(wǎng)絡(luò)應(yīng)用程序有注入漏洞,攻擊者就可以直接訪問數(shù)據(jù)庫進(jìn)而甚至能夠獲得數(shù)據(jù)庫所在的服務(wù)器的訪問權(quán),因此在某些情況下,SQL注入攻擊的風(fēng)險要高于所有其他漏洞。SQL注入攻擊具有以下特點(diǎn):
(1)廣泛性。SQL注入攻擊利用的是SQL語法,因此只要是利用SQL語法的Web應(yīng)用程序如果未對輸入的SQL語句做嚴(yán)格的處理都會存在SQL注入漏洞,目前以Active/Java Server Pages、 Cold Fusion Management、 PHP、Perl等技術(shù)與SQL Server、Oracle、DB2、Sybase等數(shù)據(jù)庫相結(jié)合的Web應(yīng)用程序均發(fā)現(xiàn)存在SQL注入漏洞。
(2)技術(shù)難度不高。SQL注入技術(shù)公布后,網(wǎng)絡(luò)上先后出現(xiàn)了多款SQL注入工具,例如教主的HDSI、NBSI、明小子的Domain等,利用這些工具軟件可以輕易地對存在SQL注入的網(wǎng)站或者Web應(yīng)用程序?qū)嵤┕簦⒆罱K獲取其計算器的控制權(quán)。
(3)危害性大,SQL注入攻擊成功后,輕者只是更改網(wǎng)站首頁等數(shù)據(jù),重者通過網(wǎng)絡(luò)滲透等攻擊技術(shù),可以獲取公司或者企業(yè)機(jī)密數(shù)據(jù)信息,產(chǎn)生重大經(jīng)濟(jì)損失。
2 SQL注入攻擊的實(shí)現(xiàn)原理
2.1 SQL注入攻擊實(shí)現(xiàn)原理
結(jié)構(gòu)化查詢語言(SQL)是一種用來和數(shù)據(jù)庫交互的文本語言,SQL Injection就是利用某些數(shù)據(jù)庫的外部接口把用戶數(shù)據(jù)插入到實(shí)際的數(shù)據(jù)庫操作語言當(dāng)中,從而達(dá)到入侵?jǐn)?shù)據(jù)庫乃至操作系統(tǒng)的目的。它的產(chǎn)生主要是由于程序?qū)τ脩糨斎氲臄?shù)據(jù)沒有進(jìn)行細(xì)致的過濾,導(dǎo)致非法數(shù)據(jù)的導(dǎo)入查詢。
SQL注入攻擊主要是通過構(gòu)建特殊的輸入,這些輸入往往是SQL語法中的一些組合,這些輸入將作為參數(shù)傳入Web應(yīng)用程序,通過執(zhí)行SQL語句而執(zhí)行入侵者的想要的操作,下面以登錄驗證中的模塊為例,說明SQL注入攻擊的實(shí)現(xiàn)方法。
在Web應(yīng)用程序的登錄驗證程序中,一般有用戶名(username)和密碼(password)兩個參數(shù),程序會通過用戶所提交輸入的用戶名和密碼來執(zhí)行授權(quán)操作。其原理是通過查找user表中的用戶名(username)和密碼(password)的結(jié)果來進(jìn)行授權(quán)訪問,典型的SQL查詢語句為:
|
如果分別給username和password賦值“admin' or 1=1--”和“aaa”。 那么,SQL腳本解釋器中的上述語句就會變?yōu)椋?/p>
|
該語句中進(jìn)行了兩個判斷,只要一個條件成立,則就會執(zhí)行成功,而1=1在邏輯判斷上是恒成立的,后面的“--”表示注釋,即后面所有的語句為注釋語句。同理通過在輸入?yún)?shù)中構(gòu)建SQL語法還可以刪除數(shù)據(jù)庫中的表,查詢、插入和更新數(shù)據(jù)庫中的數(shù)據(jù)等危險操作:
(1)jo'; drop table authors—如果存在authors表則刪除。
(2)' union select sum(username) from users—從users表中查詢出username的個數(shù)
(3)'; insert into users values( 666, 'attacker', 'foobar', 0xffff )—在user表中插入值
(4)' union select @@version,1,1,1--查詢數(shù)據(jù)庫的版本
(5)'exec master..xp_cmdshell 'dir' 通過xp_cmdshell來執(zhí)行dir命令
2.2. SQL注入攻擊實(shí)現(xiàn)過程
SQL注入攻擊可以手工進(jìn)行,也可以通過SQL注入攻擊輔助軟件如HDSI、Domain、NBSI等,其實(shí)現(xiàn)過程可以歸納為以下幾個階段:
(1)尋找SQL注入點(diǎn);尋找SQL注入點(diǎn)的經(jīng)典查找方法是在有參數(shù)傳入的地方添加諸如“and 1=1”、“and 1=2”以及“’”等一些特殊字符,通過瀏覽器所返回的錯誤信息來判斷是否存在SQL注入,如果返回錯誤,則表明程序未對輸入的數(shù)據(jù)進(jìn)行處理,絕大部分情況下都能進(jìn)行注入。
(2)獲取和驗證SQL注入點(diǎn);找到SQL注入點(diǎn)以后,需要進(jìn)行SQL注入點(diǎn)的判斷,常常采用2.1中的語句來進(jìn)行驗證。
(3)獲取信息;獲取信息是SQL注入中一個關(guān)鍵的部分,SQL注入中首先需要判斷存在注入點(diǎn)的數(shù)據(jù)庫是否支持多句查詢、子查詢、數(shù)據(jù)庫用戶賬號、數(shù)據(jù)庫用戶權(quán)限。如果用戶權(quán)限為sa,且數(shù)據(jù)庫中存在xp_cmdshell存儲過程,則可以直接轉(zhuǎn)(4)。
(4)實(shí)施直接控制;以SQL Server 2000為例,如果實(shí)施注入攻擊的數(shù)據(jù)庫是SQL Server 2000,且數(shù)據(jù)庫用戶為sa,則可以直接添加管理員賬號、開放3389遠(yuǎn)程終端服務(wù)、生成文件等命令。
(5)間接進(jìn)行控制。間接控制主要是指通過SQL注入點(diǎn)不能執(zhí)行DOS等命令,只能進(jìn)行數(shù)據(jù)字段內(nèi)容的猜測。在Web應(yīng)用程序中,為了方便用戶的維護(hù),一般都提供了后臺管理功能,其后臺管理驗證用戶和口令都會保存在數(shù)據(jù)庫中,通過猜測可以獲取這些內(nèi)容,如果獲取的是明文的口令,則可以通過后臺中的上傳等功能上傳網(wǎng)頁木馬實(shí)施控制,如果口令是明文的,則可以通過暴力破解其密碼。
| 共2頁: 1 [2] 下一頁 | ||||
|
