攻击方式学习之SQL注入(SQL Injection)

探测
非常简单，输入一个单引号(')，看页面是否出错，要是页面出错了，而且又将错误信息暴露给你了那就太好了。
从错误信息中观察确定是哪种数据库，比如Access，SQL Server等。不同数据库的SQL语句有些差别
静态代码分析，从代码中检查SQL语句是否是由字符串拼接而成。

实施方式
详见示例网站

危害
变态性的，服务器被远程控制，想干嘛干嘛。
盗取性的，盗取了数据库中的机密信息，谋取私利或其他。
破坏性的，直接破坏数据库。
修改性的，篡改数据，比如通过大学成绩查询修改成绩。
我也没干过，想不出来了。

防范
在示例中也说明了如何防范，在这里再精炼一下所谓的防止SQL注入四大法宝：

最小权限原则
特别是不要用dbo或者sa账户，为不同的类型的动作或者组建使用不同的账户，最小权限原则适用于所有与安全有关的场合。
在服务器端对用户输入进行过滤
我 们要对一些特殊字符，比如单引号，双引号，分号，逗号，冒号，连接号等进行转换或者过滤；使用强数据类型，比如你需要用户输入一个整数，就要把用户输入的 数据转换成整数形式；限制用户输入的长度等等。这些检查要放在server运行，client提交的任何东西都是不可信的。
以安全的方式创建SQL语句
不要再用万恶的字符串拼接SQL语句了，使用Parameter对象吧，比如C#中的：

错误信息不要暴露给用户
当sql运行出错时，不要把数据库返回的错误信息全部显示给用户，错误信息经常会透露一些数据库设计的细节。

特别注意：也许有很多人告诉过你使用存储过程能免受SQL注入攻击。这是错的！这只能阻止某些种类的攻击。比如存在sp_GetName存储过程，我们的代码如下：

我们试图输入"Black' or 1=1 --"将会失败，但下面的操作却是合法的：
exec sp_GetName 'Black' insert into Users values(2008, 'Green') -- '
参考资料
Michael Howard, David LeBlanc. "Writing Secure Code"
Mike Andrews, James A. Whittaker "How to Break Web Software"
http://www.secnumen.com/technology/anquanwenzhai.htm

最新评论