SQL攻击的分析与防范.doc_三一办公31ppt.com

资源描述

《SQL攻击的分析与防范.doc》由会员分享，可在线阅读，更多相关《SQL攻击的分析与防范.doc（6页珍藏版）》请在三一办公上搜索。

1、SQL攻击的分析与防范摘要自进入2008年以来，网络界经受了前所未有的SQL注入式攻击，这些网站的页面被修改、数据库被删除或程序被植入恶意代码。给这些网站带来巨大的损失。本文结合多年的网站程序设计与维护的经验来谈谈SQL注入式攻击的一般原理、注入方法及防范措施。关键字SQL，注入，攻击，方法，防范，安全近来，当打开网站，查看网页新闻时，会看到一系列有关SQL注入攻击的新闻：1月，自动SQL注入攻击了超过70,000个美国网站。4月，F-Secure表示其发现超过五十万网页都被恶意JavaScript代码攻击。7月，索尼游戏机PlayStation(PS)的美国网站遭到SQL注入攻击。10月

2、，Adobe旗下网站遭受SQL注入攻击。可见，SQL注入攻击的危害十分巨大。但SQL注入攻击也不是洪水猛兽，只要在开发Web程序时多加防范，就可以减少SQL注入攻击的威胁。本文从原理上分析实现SQL注入的一般方法，并根据这些方法提出相应的防范措施，为Web程序的开发提供一些帮助。一、SQL注入原理据统计，目前国内80%以上的网站都是采用Web动态网页结合后台数据库架设而成的。网页先从用户的请求中得到某些参数，然后动态地生成SQL语句请求发送给数据库，再把从数据库中得到的结果返回给网页，从而完成网页执行的功能。然而，在许多Web网站系统开发过程中，由于程序员编写的代码没有对用户输入数据的合法性进

3、行判断，造成应用程序存在安全隐患。恶意攻击者可以利用用户可提交或可修改的数据，构造出特殊目的SQL语句，并将其插入到系统实际执行的SQL语句中，从而随意获取数据库中的重要信息（如管理员用户名和密码等），修改、添加和删除数据库，甚至控制整个网站服务器。这就是所谓的SQL Injection，即SQL注入式攻击，简称SQL注入。简单地说，所谓SQL注入漏洞就是用户可提交构造特殊的SQL语句并得到执行的情形。所谓SQL注入攻击，就是利用SQL注入漏洞，非法获取数据库信息，或者入侵网站服务器的行为。安全专家提示：SQL注入是从正常的WWW端口进行访问网站，表面上看跟一般的Web页面访问没什么区别，所以

4、目前市面上的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会察觉，从而造成数据的泄漏，给网站带来巨大损失。并且随着Web2.0功能得到增强，SQL注入漏洞的风险也随之加大，黑客也在不断优化他们的攻击手段和工具。二、SQL注入方法1.收集程序及服务器信息。在没有设置防注入的网站中，可以通过默认链接正常打开新的页面(测试地址：./test1/news/show.asp?id=78)，但是在这个地址后面加上单引号“”，服务器将会返回下面的错误提示：Microsoft JET Database Engine 错误 80040e14 字符串的语法错误在查询表

5、达式 ID = 78 中。 /news/shown.asp，行 6 通过这个错误提示，能获取以下几点信息：(1).该网站使用的是Access数据库，通过JET引擎连接数据库，而不是通过ODBC。(2).程序没有判断客户端提交的数据是否符合程序要求。(3).该SQL语句所查询的表中有一名为ID的字段。根据这些提示信息，就可以进一步进行SQL注入测试。2获取后继页面信息在ASP程序中，往往利用querystring参数进行不同页面之间的数据传递，在要打开新的链接时，ASP服务器先从URL中提取出querystring参数中的ID值，然后根据ID值动态生成后继页面。如有以下代码：ID = Reque

6、st(ID)SQL = Select * From news Where Id= & IDSet RS = Server.CreateObject(ADODB.Recordset)RS.Open SQL, DSN=.Do While Not RS.EOFResponse.Write RS(Content)Rs.MoveNextLoopSet RS = Nothin在一般情况下，此ASP脚本能够显示具有特定ID值的文章的内容（ ./test1 /news/shown.asp?ID=78），而 ID 值是由URL中的 querystring 参数指定的。然而此段代码存在SQL注入攻击漏洞。某些恶意

7、用户可以把querystring中的ID值偷换为“78 or 1=1”，则原URL变为：./test1/news/shown.asp?ID=78 or 1=1，从而诱使ASP脚本生成不安全的SQL指令如下：Select * From news Where ID=0 or 1=1因1=1永远成立，所以原SQL指令等效为：Select * From news于是，数据库将会返回所有文章的内容。当然，本例中服务器所受的攻击只是文章信息的泄漏，并不会引起很严重后果。但是，如果攻击者用同样的手段发送DELETE等SQL指令有可能把表里的内容全部删除。3非法成功提交表单SQL注入攻击除了可以通过URL实现

8、外，还可以通过页面中的表单实现，而且通过表单提交的SQL注入攻击在方式上更加灵活，危害也更大。比如在设计用户登录页面时，正常的做法是在登录页面中设计一表单，要求用户在表单中提交用户名（UserName）和密码（PassWord）,只有当用户名和密码均正确时才能通过验证。假定有两个页面：一个登录页面 (./test1/userlogin/index.asp) 用于登录，另一个审核页面(./test1/userlogin/Logincheck.asp) 用于验证用户权限(即向数据库查询用户名/密码组合是否存在)。(1).登录页面 Username: Password: (2).审核页面User =

9、 Request (Username)Psd = Request (Password)SQL = Select * From Users Where Username= & User & and Password= & Psd & Set RS = Server.CreateObject(ADODB.Recordset)RS.Open SQL, DSN=.If (RS.EOF) ThenResponse. .Redirect Admin.aspElseResponse.Redirect Err.aspEnd IfSet RS = Nothing初看，审核页面的代码似乎没有任何安全漏洞，因为用户

10、如果不给出有效的用户名密码组合就无法登录。然而，正是这段代码成了SQL注入攻击的理想目标。攻击者可以在表单的用户名或密码栏中输入包含“or”和“=”等的特殊字符，于是，提交给数据库的SQL指令就可能变成： SQL = Select * From Users Where Username=* or 1=1 and Password =* or 1=1根据前述，可以知道，SQL 服务器将返回包含Users表格中的所有记录的记录集，但在此处设计者往往不会设计循环查询，所以ASP脚本将会以Users表中的第一条记录的身份允许其登录网站，而在很多网站中的第一条记录的用户名往往就是admin！因此，登录后

11、你便可以管理整个网站的资源。即在不知道用户名和密码的情况下，服务器通过验证。从而绕过服务器的条件审查而非法登录网站，实现SQL注入。例如：在网站的后台管理用户登录时(测试地址：./test1/userlogin/index.asp)，将字符串“a or 1=1 or 1”作为用户名和密码提交则成功绕过密码审核而直接登录。三、SQL注入防范为了防止SQL注入造成数据泄漏，可以采用相应的措施来加强网站的安全。1.关闭错误信息提示如在第一例中，只要在服务器上的IIS管理器中做如下设置，右击站点，在弹出的菜单中选择属性，在弹出的对话框的主目录选项卡中单击配置，在应用程序配置对话框的调试选项卡中的“脚本

12、错误的错误信息”选项中选择“向客户端发送下列文本错误消息（T）：”并可设置简单的文本提示，也可以使用默认的提示文本。这时，别人就无法通过ASP的错误信息来获得有关服务器及数据库等的相关信息了。2.防止通过URL注入对通过querystring参数进行传递ID时，根据ID是数字的特性，可以把querystring参数进行限定：一是限定为数字字符(函数：IsNumeric)，二是限定长度。如果可以预见最大的记录数（假定为9999），那么就可以把querystring参数的长度限定在4位。对于需在不同页面间进行传送用户名、密码及权限等其它信息时，则不建议采用querystring参数在URL中显式传

13、送，而应该采用Cookif或Session进行隐式传送。另外，Session数据是不写入本地硬盘的，随网页的关闭而失效，因此安全性上高于Cookie。3.防止构造非法SQL命令在网站中数据的提交往往是通过表单来进行的，对于用户名、密码，可以指定用户所使用的字符集及字符串长度。但对于文章就无法指定用户所使用的字符集及字符串长度了。可以使用替换法替换掉一些特定的字符，使这些字符在HTML的页面中可以正常显示，但在SQL命令中却无法识别。如：if not isnull(HtmlStr) then HtmlStr = replace(HtmlStr, , >) HtmlStr = replace

14、(HtmlStr, , <) HtmlStr = Replace(HtmlStr, CHR(32), ) HtmlStr = Replace(HtmlStr, CHR(9), ) HtmlStr = Replace(HtmlStr, CHR(34), ") HtmlStr = Replace(HtmlStr, CHR(39), ') HtmlStr = Replace(HtmlStr, CHR(13), ) HtmlStr = Replace(HtmlStr, CHR(10) & CHR(10), ) HtmlStr = Replace(Html

16、eclareSQL_inj = split(SQL_Injdata,|)(2).get的拦截：If Request.QueryString ThenFor Each SQL_Get In Request.QueryStringFor SQL_Data=0 To Ubound(SQL_inj)if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA)0 Then Response.Write Script Language=”javascript”alert(SQL防注入系统提示nn请不要在参数中包含非法字符尝试注入！);history.bac

17、k(-1)/ScriptResponse.endend ifnextNextend if(3).plst的拦截实现了get请求的注入拦截后，可以用同样的方法来实现post请求的注入拦截。要做的只是把字符串Request.QueryString替换成Request.Form，以及将字符串get替换成post即可。通过以上代码，就可以实现get和post请求的非法信息拦截，减少受到SQL注入攻击的危险。四、结语通过以上几种SQL注入防范措施的综合运用，就能最大限度地杜绝SQL注入攻击的漏洞的产生，让SQL注入攻击无门。当然，技术永无止境，安全与漏洞就是一对孪生的双胞胎，互相促进与提高。要开发一个安全的Web程序，除尽可能采用先进的Web开发程序外，更关键的是要提高Web程序开发人员防范攻击的意识，避免程序设计过程中的漏洞，给攻击者有可趁之机，提高程序的安全性。

展开阅读全文