SQL注入原理、过程、防御方案、RASP概念

一、sql注入原理

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的语句上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

通过把SQL命令插入到Web前端的输入,然后请求到了服务器,最后到了DBMS,最终达到欺骗服务器和数据库操作系统,执行了恶意的SQL命令。
具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,篡改原先对数据的操作,实现非法的恶意操作。

二、SQL注入过程

思路:

1.寻找到SQL注入的位置
2.判断服务器类型和后台数据库类型
3.针对不通的服务器和数据库特点进行SQL注入攻击

在这里插入图片描述

三、举例说明

例如:
一个正常的查询sql:

 String sql = "select * from user_table where username=' "+userName+" ' and password=' "+password+" '";

恶意插入'or 1 = 1 -- and password='

SELECT * FROM user_table WHERE username= '’or 1 = 1 -- and password='’

分析SQL语句:

条件后面username=”or 1=1 用户名等于 ” 或1=1 那么这个条件一定会成功;
然后后面加两个-,这意味着注释,它将后面的语句注释,让他们不起作用,这样语句永远都能正确执行,用户轻易骗过系统,获取合法身份。

例如:
恶意插入: '' ;DROP DATABASE (DB Name) --' and password=''

SELECT * FROM user_table where username='' ;DROP DATABASE (DB Name) --' and password=''

四、防御方案

1、是否有拼接SQL,且未使用参数化查询的代码段;可以检查是否有executeQuery、createStatement语句;JDBC应使用PreparedStatement预编译SQL 不要使用Statement编译SQL。
在这里插入图片描述
关于JDBC中PreparedStatement和Statement区别

2、检查Mybatis是否使用了不安全的$做参数拼接;
mybatis框架使用#{}方式接收参数,LIKE字段参照:
在这里插入图片描述

3、检查MyBatis使用$的参数是否做了白名单过滤;
Order by可使用字段名使用白名单方式进行限制:
在这里插入图片描述

4.从框架层面检查输入字符串中是否包含敏感的SQL字符。 检查到非法字符后,可以对非法字符进行转义处理或者结束数据库查询并返回告警。

5、业内有RASP防御技术可以有效防御SQL注入漏洞,如果有需要,可以在系统架构设计时引入RASP组件

RASP技术实现

关于RASP概念

RASP(Runtime Application Self-Protection),运行时应用自我保护;是一种植入到应用程序内部或其运行时环境的安全技术。它能够控制应用程序的执行流程,并且可以实时检测和阻止漏洞攻击行为。该技术可以用来通过自我保护的措施来阻止相关网络攻击,或在没有人为干预的情况下自动重新配置环境,以此来解决特定网络问题(威胁,故障等)。

  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

偷偷学习被我发现

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值