文章目录
一、SQL注入概述
1.1 什么是SQL注入漏洞
攻击者利用Web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机会直接对后台数据库系统下达指令,进而实现对后台数据库乃至整个应用系统的入侵。
1.2 SQL注入原理
服务端没有过滤用户输入的恶意数据,直接把用户输入的数据当作SQL语句执行,从而影响数据库安全和平台安全。
两个条件:
- 用户能够控制输入
- 原本程序要执行的SQL语句,拼接了用户输入的恶意数据
判断一个HTTP请求是否存在SQL注入的方式:
在参数后面加上单引号,比如: http://xxx/abc.php?id=1'
如果页面返回错误,则存在 Sql 注入。原因是无论字符型还是整型都会因为单引号个数不匹配而报错。
二、SQL注入分类
2.1 按照注入点分类
-
数字型(整型)注入
输入的参数为整数,如ID、年龄、页码等,如果存在注入型漏洞,则为数字型(整型)注入。如http://www.testweb.com/user.php?id=8
,则数字型注入测试方式:
-
字符型注入
输入参数为字符串,与整型注入的区别在于:字符型注入一般需要使用单引号或其他符号进行闭合。如http://www.testweb.com/test.php?user=admin
,则数字型注入测试方式:
这里仅考虑单引号闭合,还有双引号闭合,单引号与括号的组合闭合方式等。
-
搜索型注入
这类注入主要是指在进行数据搜索时没有过滤搜索参数,一般在链接地址中有“keyword=关键字”,有的不显示链接地址,而是通过搜索框表单提交。
此类注入点提交的SQL语句,大致为:select * from 表名 where 字段 like '%关键字%'
。当我们提交的注入参数为keyword=‘and <查询条件> and ‘%’ =’,则向数据库提交的SQL语句为:select * from 表名 where 字段 like '%‘and <查询条件> and ‘%’ =’%。
2.2 按照注入技术(执行效果)分类
- 基于布尔盲注
可以根据返回页面的真假进行判断,也就是说页面有两种显示状态。 - 基于时间的盲注
不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。 - 基于报错的注入
即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。 - 联合查询注入
可以使用union的情况下的注入。 - 堆查询注入
同时执行多条语句的注入。
三、SQL注入漏洞形成的原因
- 动态字符串构建引起
- 不正确的处理转义字符(宽字节注入)
- 不正确的处理错误(报错注入,报错泄露信息)
详细的内部错误消息显示给用户或攻击者,错误信息可以直接给攻击者提供下一步攻击帮助。 - 不正确的处理联合查询(联合查询注入)
- 不正确的处理多次提交(二次注入)
- 后台存在的问题
- 后台无过滤或者编码用户数据
- 数据库可以拼接用户传递的恶意代码
- 不安全的数据库配置
- 默认账户
SQL Server ”sa“作为数据库系统管理员账户;MySQL使用"root"和”anonymous“用户账户;Oracle则在创建数据库时通常默认会创建SYS、SYSTEM DBSNMP 和OUTLN账户。 - 权限
问题:系统和数据库管理员在安装数据库服务器时允许以roots SYSTEM或Administrator特权系统用户账户身份执行操作。
正确方法:应该始终以普通用户身份允许服务器上的服务,降低用户权限,将用户权限只限于本服务。
- 默认账户
四、SQL注入过程
4.1 手工注入过程
- 判断是否存在注入点;
- 判断字段长度(字段数);
- 判断字段回显位置;
- 判断数据库信息;
- 查找数据库名;
- 查找数据库表;
- 查找数据库表中所有字段及字段值;
- 猜账户密码;
- 登录管理员后台。
这只是union注入的一般注入过程,盲注、报错注入等会有些许不同。
4.2 自动化注入工具
(1)SQL注入工具:SQLmap、Havij、Sqlid
(2)ASP/JSP注入工具:NBSI、阿D注入软件、明小子注入软件
(3)PHP注入工具:穿山甲注入软件、海阳顶端注入软件