SQL注入攻擊及其防范檢測(cè)技術(shù)研究(1)

1  SQL注入攻擊概述

1.1  SQL注入技術(shù)定義

SQL注入（SQL Injection）技術(shù)在國(guó)外最早出現(xiàn)在1999年，我國(guó)在2002年后開始大量出現(xiàn)，目前沒有對(duì)SQL注入技術(shù)的標(biāo)準(zhǔn)定義，微軟中國(guó)技術(shù)中心從2個(gè)方面進(jìn)行了描述：

（1）腳本注入式的攻擊

（2）惡意用戶輸入用來(lái)影響被執(zhí)行的SQL腳本

Chris Anley將SQL注入定義為，攻擊者通過(guò)在查詢操作中插入一系列的SQL語(yǔ)句到應(yīng)用程序中來(lái)操作數(shù)據(jù)。Stephen Kost[3]給出了SQL注入的一個(gè)特征，“從一個(gè)數(shù)據(jù)庫(kù)獲得未經(jīng)授權(quán)的訪問和直接檢索”。利用SQL注入技術(shù)來(lái)實(shí)施網(wǎng)絡(luò)攻擊常稱為SQL注入攻擊，其本質(zhì)是利用Web應(yīng)用程序中所輸入的SQL語(yǔ)句的語(yǔ)法處理，針對(duì)的是Web應(yīng)用程序開發(fā)者編程過(guò)程中未對(duì)SQL語(yǔ)句傳入的參數(shù)做出嚴(yán)格的檢查和處理所造成的。習(xí)慣上將存在SQL注入點(diǎn)的程序或者網(wǎng)站稱為SQL注入漏洞。實(shí)際上，SQL注入是存在于有數(shù)據(jù)庫(kù)連接的應(yīng)用程序中的一種漏洞，攻擊者通過(guò)在應(yīng)用程序中預(yù)先定義好的查詢語(yǔ)句結(jié)尾加上額外的SQL語(yǔ)句元素，欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行非授權(quán)的查詢。這類應(yīng)用程序一般是基于Web的應(yīng)用程序，它允許用戶輸入查詢條件，并將查詢條件嵌入SQL請(qǐng)求語(yǔ)句中，發(fā)送到與該應(yīng)用程序相關(guān)聯(lián)的數(shù)據(jù)庫(kù)服務(wù)器中去執(zhí)行。通過(guò)構(gòu)造一些畸形的輸入，攻擊者能夠操作這種請(qǐng)求語(yǔ)句去獲取預(yù)先未知的結(jié)果。

1.2  SQL注入攻擊特點(diǎn)

SQL注入攻擊是目前網(wǎng)絡(luò)攻擊的主要手段之一，在一定程度上其安全風(fēng)險(xiǎn)高于緩沖區(qū)溢出漏洞，目前防火墻不能對(duì)SQL注入漏洞進(jìn)行有效地防范。防火墻為了使合法用戶運(yùn)行網(wǎng)絡(luò)應(yīng)用程序訪問服務(wù)器端數(shù)據(jù)，必須允許從Internet到Web服務(wù)器的正向連接，因此一旦網(wǎng)絡(luò)應(yīng)用程序有注入漏洞，攻擊者就可以直接訪問數(shù)據(jù)庫(kù)進(jìn)而甚至能夠獲得數(shù)據(jù)庫(kù)所在的服務(wù)器的訪問權(quán)，因此在某些情況下，SQL注入攻擊的風(fēng)險(xiǎn)要高于所有其他漏洞。SQL注入攻擊具有以下特點(diǎn)：

（1）廣泛性。SQL注入攻擊利用的是SQL語(yǔ)法，因此只要是利用SQL語(yǔ)法的Web應(yīng)用程序如果未對(duì)輸入的SQL語(yǔ)句做嚴(yán)格的處理都會(huì)存在SQL注入漏洞，目前以Active/Java Server Pages、 Cold Fusion Management、 PHP、Perl等技術(shù)與SQL Server、Oracle、DB2、Sybase等數(shù)據(jù)庫(kù)相結(jié)合的Web應(yīng)用程序均發(fā)現(xiàn)存在SQL注入漏洞。

（2）技術(shù)難度不高。SQL注入技術(shù)公布后，網(wǎng)絡(luò)上先后出現(xiàn)了多款SQL注入工具，例如教主的HDSI、NBSI、明小子的Domain等，利用這些工具軟件可以輕易地對(duì)存在SQL注入的網(wǎng)站或者Web應(yīng)用程序?qū)嵤┕�擊，并最終獲取其計(jì)算器的控制權(quán)。

（3）危害性大，SQL注入攻擊成功后，輕者只是更改網(wǎng)站首頁(yè)等數(shù)據(jù)，重者通過(guò)網(wǎng)絡(luò)滲透等攻擊技術(shù)，可以獲取公司或者企業(yè)機(jī)密數(shù)據(jù)信息，產(chǎn)生重大經(jīng)濟(jì)損失。

2  SQL注入攻擊的實(shí)現(xiàn)原理

2.1  SQL注入攻擊實(shí)現(xiàn)原理
 
結(jié)構(gòu)化查詢語(yǔ)言（SQL）是一種用來(lái)和數(shù)據(jù)庫(kù)交互的文本語(yǔ)言，SQL Injection就是利用某些數(shù)據(jù)庫(kù)的外部接口把用戶數(shù)據(jù)插入到實(shí)際的數(shù)據(jù)庫(kù)操作語(yǔ)言當(dāng)中，從而達(dá)到入侵?jǐn)?shù)據(jù)庫(kù)乃至操作系統(tǒng)的目的。它的產(chǎn)生主要是由于程序?qū)τ脩糨斎氲臄?shù)據(jù)沒有進(jìn)行細(xì)致的過(guò)濾，導(dǎo)致非法數(shù)據(jù)的導(dǎo)入查詢。

SQL注入攻擊主要是通過(guò)構(gòu)建特殊的輸入，這些輸入往往是SQL語(yǔ)法中的一些組合，這些輸入將作為參數(shù)傳入Web應(yīng)用程序，通過(guò)執(zhí)行SQL語(yǔ)句而執(zhí)行入侵者的想要的操作，下面以登錄驗(yàn)證中的模塊為例，說(shuō)明SQL注入攻擊的實(shí)現(xiàn)方法。

在Web應(yīng)用程序的登錄驗(yàn)證程序中，一般有用戶名（username）和密碼（password）兩個(gè)參數(shù)，程序會(huì)通過(guò)用戶所提交輸入的用戶名和密碼來(lái)執(zhí)行授權(quán)操作。其原理是通過(guò)查找user表中的用戶名（username）和密碼（password）的結(jié)果來(lái)進(jìn)行授權(quán)訪問，典型的SQL查詢語(yǔ)句為：

Select * from users where username='admin' and password='smith’

如果分別給username和password賦值“admin' or 1=1--”和“aaa”。 那么，SQL腳本解釋器中的上述語(yǔ)句就會(huì)變?yōu)椋?/p>

select * from users where username=’admin’ or 1=1-- and password=’aaa’

該語(yǔ)句中進(jìn)行了兩個(gè)判斷，只要一個(gè)條件成立，則就會(huì)執(zhí)行成功，而1=1在邏輯判斷上是恒成立的，后面的“--”表示注釋，即后面所有的語(yǔ)句為注釋語(yǔ)句。同理通過(guò)在輸入?yún)��?shù)中構(gòu)建SQL語(yǔ)法還可以刪除數(shù)據(jù)庫(kù)中的表，查詢、插入和更新數(shù)據(jù)庫(kù)中的數(shù)據(jù)等危險(xiǎn)操作：

（1）jo'; drop table authors—如果存在authors表則刪除。

（2）' union select sum(username) from users—從users表中查詢出username的個(gè)數(shù)

（3）'; insert into users values( 666, 'attacker', 'foobar', 0xffff )—在user表中插入值

（4）' union select @@version,1,1,1--查詢數(shù)據(jù)庫(kù)的版本

（5）'exec master..xp_cmdshell 'dir' 通過(guò)xp_cmdshell來(lái)執(zhí)行dir命令

2.2.  SQL注入攻擊實(shí)現(xiàn)過(guò)程

SQL注入攻擊可以手工進(jìn)行，也可以通過(guò)SQL注入攻擊輔助軟件如HDSI、Domain、NBSI等，其實(shí)現(xiàn)過(guò)程可以歸納為以下幾個(gè)階段：

（1）尋找SQL注入點(diǎn)；尋找SQL注入點(diǎn)的經(jīng)典查找方法是在有參數(shù)傳入的地方添加諸如“and  1=1”、“and 1=2”以及“’”等一些特殊字符，通過(guò)瀏覽器所返回的錯(cuò)誤信息來(lái)判斷是否存在SQL注入，如果返回錯(cuò)誤，則表明程序未對(duì)輸入的數(shù)據(jù)進(jìn)行處理，絕大部分情況下都能進(jìn)行注入。

（2）獲取和驗(yàn)證SQL注入點(diǎn)；找到SQL注入點(diǎn)以后，需要進(jìn)行SQL注入點(diǎn)的判斷，常常采用2.1中的語(yǔ)句來(lái)進(jìn)行驗(yàn)證。

（3）獲取信息；獲取信息是SQL注入中一個(gè)關(guān)鍵的部分，SQL注入中首先需要判斷存在注入點(diǎn)的數(shù)據(jù)庫(kù)是否支持多句查詢、子查詢、數(shù)據(jù)庫(kù)用戶賬號(hào)、數(shù)據(jù)庫(kù)用戶權(quán)限。如果用戶權(quán)限為sa，且數(shù)據(jù)庫(kù)中存在xp_cmdshell存儲(chǔ)過(guò)程，則可以直接轉(zhuǎn)（4）。

（4）實(shí)施直接控制；以SQL Server 2000為例，如果實(shí)施注入攻擊的數(shù)據(jù)庫(kù)是SQL Server 2000，且數(shù)據(jù)庫(kù)用戶為sa，則可以直接添加管理員賬號(hào)、開放3389遠(yuǎn)程終端服務(wù)、生成文件等命令。

（5）間接進(jìn)行控制。間接控制主要是指通過(guò)SQL注入點(diǎn)不能執(zhí)行DOS等命令，只能進(jìn)行數(shù)據(jù)字段內(nèi)容的猜測(cè)。在Web應(yīng)用程序中，為了方便用戶的維護(hù)，一般都提供了后臺(tái)管理功能，其后臺(tái)管理驗(yàn)證用戶和口令都會(huì)保存在數(shù)據(jù)庫(kù)中，通過(guò)猜測(cè)可以獲取這些內(nèi)容，如果獲取的是明文的口令，則可以通過(guò)后臺(tái)中的上傳等功能上傳網(wǎng)頁(yè)木馬實(shí)施控制，如果口令是明文的，則可以通過(guò)暴力破解其密碼。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]