SQL注入攻击

一般来说，SQL注入一般存在于形如：HTTP://xxx.xxx.xxx/abc.asp?id=XX等带有参数的ASP动态网页中，有时一个动态网页中可能只有一个参数，有时可能有N个参数，有时是整型参数，有时是字符串型参数，不能一概而论。总之只要是带有参数的动态网页且此网页访问了数据库，那么就有可能存在SQL注入。如果ASP程序员没有安全意识，不进行必要的字符过滤，存在SQL注入的可能性就非常大。

　　为了全面了解动态网页回答的信息，首选请调整IE的配置。把IE菜单-工具-Internet选项－高级－显示友好HTTP 错误信息前面的勾去掉。

　　为了把问题说明清楚，以下以HTTP://xxx.xxx.xxx/abc.asp?p=YY为例进行分析，YY可能是整型，也有可能是字符串。

　　⒈整型参数的判断

　　当输入的参数YY为整型时，通常abc.asp中SQL语句原貌大致如下：

　　select * from 表名 where 字段=YY，所以可以用以下步骤测试SQL注入是否存在。

　　①HTTP://xxx.xxx.xxx/abc.asp?p=YY’（附加一个单引号），此时abc.ASP中的SQL语句变成了

　　select * from 表名 where 字段=YY’，abc.asp运行异常；

②HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=1,abc.asp运行正常，而且与HTTP://xxx.xxx.xxx/abc.asp?p=YY运行结果相同；

　　③HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=2,abc.asp运行异常；

　　如果以上三步全面满足，abc.asp中一定存在SQL 注入漏洞。

　　⒉字符串型参数的判断

　　当输入的参数YY为字符串时，通常abc.asp中 SQL语句原貌大致如下：

　　select * from 表名 where 字段='YY'，所以可以用以下步骤测试SQL注入是否存在。

　　①HTTP://xxx.xxx.xxx/abc.asp?p=YY’（附加一个单引号），此时abc.ASP中的SQL语句变成了

　　select * from 表名 where 字段=YY’，abc.asp运行异常；

　　②HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1'='1',abc.asp运行正常，而且与HTTP://xxx.xxx.xxx/abc.asp?p=YY运行结果相同；

　　③HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1'='2',abc.asp运行异常；

　　如果以上三步全面满足，abc.asp中一定存在SQL注入漏洞。

　　⒊特殊情况的处理

　　有时ASP 程序员会在程序员过滤掉单引号等 字符，以防止SQL注入。此时可以用以下几种方法试一试。

　　①大小定混合法：由于VBS并不区分大小写，而程序员在过滤时通常要么全部过滤大写字符串，要么全部过滤小写字符串，而大小写混合往往会被忽视。如用SelecT代替select,SELECT等；

　　②UNICODE法：在ⅡS中，以UNICODE 字符集实现国际化，我们完全可以IE中输入的字符串化成UNICODE字符串进行输入。如+ =%2B，空格=%20 等；URLEncode信息参见附件一；

　　③ASCⅡ码法：可以把输入的部分或全部字符全部用ASCⅡ码代替，如U=chr（85），a=chr（97）等

 

网络分析

SQL注入攻击是非常令人讨厌的安全漏洞，是所有的web开发人员，不管是什么平台，技术，还是数据层，需要确信他们理解和防止的东西。不幸的是，开发人员往往不集中花点时间在这上面，以至他们的应用，更糟糕的是，他们的客户极其容易受到攻击。

　　Michael Sutton 最近发表了一篇非常发人深省的帖子，讲述在公共网上这问题是多么地普遍。他用Google的Search API建了一个C#的客户端程序，寻找那些易受SQL 注入攻击的网站。其步骤很简单：

　　1，寻找那些带查询字符串的网站（例如，查询那些在URL里带有 "id=" 的URL)

　　2，给这些确定为动态的网站发送一个请求，改变其中的id=语句，带一个额外的单引号，来试图取消其中的SQL语句（例如，如 id=6')

　　3，分析返回的回复，在其中查找象“SQL” 和“query”这样的词，这往往表示应用返回了详细的错误消息（这本身也是很糟糕的）

　　4，检查错误消息是否表示发送到SQL服务器的参数没有被正确加码（encoded），如果如此，那么表示可对该网站进行SQL注入攻击

　　对通过Google搜寻找到的1000个网站的随机取样测试，他检测到其中的11.3%有易受SQL注入攻击的可能。这非常，非常地可怕。这意味着黑客可以远程利用那些应用里的数据，获取任何没有hashed或加密的密码或信用卡数据，甚至有以管理员身份登陆进这些应用的可能。这不仅对开发网站的开发人员来说很糟糕，而且对使用网站的消费者或用户来说更糟糕，因为他们给网站提供了数据，想着网站是安全的呢。

　　那么SQL注入攻击到底是什么玩意？

　　有几种情形使得SQL注入攻击成为可能。最常见的原因是，你动态地构造了SQL语句，却没有使用正确地加了码（encoded）的参数。譬如，考虑这个SQL查询的编码，其目的是根据由查询字符串提供的社会保险号码（social security number）来查询作者（Authors）：

　　Dim SSN as String

　　Dim SqlQuery as String

　　SSN = Request.QueryString("SSN")

　　SqlQuery = "SELECT au_lname,au_fname FROM authors WHERE au_id = '" + SSN + "'"

　　如果你有象上面这个片断一样的SQL编码，那么你的整个数据库和应用可以远程地被黑掉。怎么会呢？在普通情形下，用户会使用一个社会保险号码来访问这个网站，编码是象这样执行的：

　　' URL to the page containing the above code

　　' SQL Query executed against the database

　　SELECT au_lname,au_fname FROM authors WHERE au_id = '172-32-9999'

　　这是开发人员预期的做法，通过社会保险号码来查询数据库中作者的信息。但因为参数值没有被正确地加码，黑客可以很容易地修改查询字符串的值，在要执行的值后面嵌入附加的SQL语句。譬如，

　　' URL to the page containing the above code

　　' SQL Query executed against the database

　　SELECT au_lname,au_fname FROM authors WHERE au_id = '';DROP DATABASE pubs --

　　注意到没有，可以在SSN查询字符串值的后面添加“ ';DROP DATABASE pubs -- ”，通过 “；”字符来终止当前的SQL语句，然后添加了自己的恶意的SQL语句，然后把语句的其他部分用“--”字符串注释掉。因为是手工在编码里构造SQL语句，最后把这个字符串传给了数据库，数据库会先对authors表进行查询，然后把我们的pubs数据库删除。“砰（bang）”的一声，数据库就没了！

　　万一你认为匿名黑客删除你的数据库的结果很坏，但不幸的是，实际上，这在SQL注入攻击所涉及的情形中算是比较好的。一个黑客可以不单纯摧毁数据，而是使用上面这个编码的弱点，执行一个JOIN语句，来获取你数据库里的所有数据，显示在页面上，允许他们获取用户名，密码，信用卡号码等等。他们也可以添加 UPDATE/INSERT 语句改变产品的价格，添加新的管理员账号，真的搞砸你（screw up your life）呢。想象一下，到月底检查库存时，发现你库房里的实际产品数与你的账目系统（accounting system）汇报的数目有所不同。

 

如何防范

SQL注入攻击是你需要担心的事情，不管你用什么web编程技术，再说所有的web框架都需要担心这个的。你需要遵循几条非常基本的规则：

　　1）在构造动态SQL语句时，一定要使用类安全（type-safe）的参数加码机制。大多数的数据API，包括ADO和ADO. NET，有这样的支持，允许你指定所提供的参数的确切类型（譬如，字符串，整数，日期等），可以保证这些参数被恰当地escaped/encoded了，来避免黑客利用它们。一定要从始到终地使用这些特性。

　　例如，在ADO. NET里对动态SQL，你可以象下面这样重写上述的语句，使之安全：

　　Dim SSN as String = Request.QueryString("SSN")

　　Dim cmd As new SqlCommand("SELECT au_lname,au_fname FROM authors WHERE au_id = @au_id")

　　Dim param = new SqlParameter("au_id",SqlDbType.VarChar)

　　param.Value = SSN

　　cmd.Parameters.Add(param)

　　这将防止有人试图偷偷注入另外的SQL表达式（因为ADO. NET知道对au_id的字符串值进行加码），以及避免其他数据问题（譬如不正确地转换数值类型等）。注意，VS 2005内置的TableAdapter/DataSet设计器自动使用这个机制，ASP. NET 2.0数据源控件也是如此。

　　一个常见的错误知觉（misperception）是，假如你使用了存储过程或ORM，你就完全不受SQL注入攻击之害了。这是不正确的，你还是需要确定在给存储过程传递数据时你很谨慎，或在用ORM来定制一个查询时，你的做法是安全的。

　　2） 在部署你的应用前，始终要做安全审评（security review）。建立一个正式的安全过程（formal security process），在每次你做更新时，对所有的编码做审评。后面一点特别重要。很多次我听说开发队伍在正式上线（going live）前会做很详细的安全审评，然后在几周或几个月之后他们做一些很小的更新时，他们会跳过安全审评这关，推说，“就是一个小小的更新，我们以后再做编码审评好了”。请始终坚持做安全审评。

　　3） 千万别把敏感性数据在数据库里以明文存放。我个人的意见是，密码应该总是在单向（one-way)hashed过后再存放，我甚至不喜欢将它们在加密后存放。在默认设置下，ASP. NET 2.0 Membership API 自动为你这么做，还同时实现了安全的SALT 随机化行为（SALT randomization behavior）。如果你决定建立自己的成员数据库，我建议你查看一下我们在这里发表的我们自己的Membership provider的源码。同时也确定对你的数据库里的信用卡和其他的私有数据进行了加密。这样即使你的数据库被人入侵（compromised）了的话，起码你的客户的私有数据不会被人利用。

　　4）确认你编写了自动化的单元测试，来特别校验你的数据访问层和应用程序不受SQL注入攻击。这么做是非常重要的，有助于捕捉住（catch）“就是一个小小的更新，所有不会有安全问题”的情形带来的疏忽，来提供额外的安全层以避免偶然地引进坏的安全缺陷到你的应用里去。

　　5）锁定你的数据库的安全，只给访问数据库的web应用功能所需的最低的权限。如果web应用不需要访问某些表，那么确认它没有访问这些表的权限。如果web应用只需要只读的权限从你的account payables表来生成报表，那么确认你禁止它对此表的 insert/update/delete 的权限。

　　6）很多新手从网上下载SQL通用防注入系统的程序，在需要防范注入的页面头部用 来防止别人进行手动注入测试（。

　　可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟，你的管理员账号及密码就会被分析出来。

　　7）对于注入分析器的防范，笔者通过实验，发现了一种简单有效的防范方法。首先我们要知道SQL注入分析器是如何工作的。在操作过程中，发现软件并不是冲着“admin”管理员账号去的，而是冲着权限（如flag=1）去的。这样一来，无论你的管理员账号怎么变都无法逃过检测。

　　第三步：既然无法逃过检测，那我们就做两个账号，一个是普通的管理员账号，一个是防止注入的账号，为什么这么说呢？笔者想，如果找一个权限最大的账号制造假象，吸引软件的检测，而这个账号里的内容是大于千字以上的中文字符，就会迫使软件对这个账号进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。

　　⒈对表结构进行修改。将管理员的账号字段的数据类型进行修改，文本型改成最大字段255（其实也够了，如果还想做得再大点，可以选择备注型），密码的字段也进行相同设置。

　　⒉对表进行修改。设置管理员权限的账号放在ID1，并输入大量中文字符（最好大于100个字）。

　　⒊把真正的管理员密码放在ID2后的任何一个位置（如放在ID549上）。

　　由于SQL注入攻击针对的是应用开发过程中的编程不严密，因而对于绝大多数防火墙来说，这种攻击是“合法”的。问题的解决只有依赖于完善编程。专门针对SQL注入攻击的工具较少，Wpoison对于用asp，php进行的开发有一定帮助...。

 

来自：http://baike.baidu.com/view/983303.htm