网络安全快速入门15-SQL注入

简介

数据是信息系统最重要的组成部分之一。 组织使用数据库驱动的Web应用程序从客户处获取数据。 SQL是结构化查询语言的首字母缩写。 它用于检索和操作数据库中的数据。

什么是SQL注入？

SQL注入是一种攻击，它使动态SQL语句中毒以注释掉语句的某些部分或附加始终为真的条件。它利用设计不佳的Web应用程序中的设计缺陷来来执行恶意SQL代码。

图片.png

SQL注入的工作原理

攻击类型因数据库引擎的类型而异。 攻击适用于动态SQL语句 。 动态语句是在运行时使用来自Web表单或URI查询字符串的参数password生成的语句。

让我们考虑一个带登录表单的简单Web应用程序。 HTML表单的代码如下所示

<form action=‘index.php’ method="post">

<input type="email" name="email" required="required"/>

<input type="password" name="password"/>

<input type="checkbox" name="remember_me" value="Remember me"/>

<input type="submit" value="Submit"/>

</form>

上面的表单接受电子邮件地址，然后密码,并将它们提交到名为index.php的PHP文件。
它可以选择将登录会话存储在cookie中。 我们从remember_me复选框中推断出这一点。 它使用post方法提交数据。 这意味着值不会显示在URL中。
假设后端用于检查用户ID的语句如下所示

SELECT * FROM users WHERE email = $_POST['email'] AND password = md5($_POST['password']); 

上面的语句直接使用$ _POST数组的值而不对它们进行清理。密码使用MD5算法加密。

我们将使用sqlfiddle来说明SQL注入攻击。 在Web浏览器中打开URL http://sqlfiddle.com/ 。 您将看到以下窗口。

图片.png

CREATE TABLE `users` (
  `id` INT NOT NULL AUTO_INCREMENT,
  `email` VARCHAR(45) NULL,
  `password` VARCHAR(45) NULL,
  PRIMARY KEY (`id`));

insert into users (email,password) values ('m@m.com',md5('abc'));

查看用户

select * from users;
SELECT * FROM users WHERE email = 'admin@admin.sys' AND password = md5('1234');
SELECT * FROM users WHERE email = 'xxx@xxx.xxx' OR 1 = 1 LIMIT 1 -- ' ] AND password = md5('1234'); 

图片.png

攻防演示

clicks.aweber.com/y/ct/?l=OC8_i&m=3_eVc7JAqP5Ezy9&b=A479jE.TSEOaMBtTMI88HQ

xxx') OR 1 = 1 -- ]

image.png

其他SQL注入攻击类型

图片.png

• 删除数据
• 更新数据
• 插入数据
• 在服务器上执行可以下载和安装特洛伊木马等恶意程序的命令
• 将有价值的数据（如信用卡详细信息，电子邮件和密码）导出到攻击者的远程服务器
• 获取用户登录详细信息等

SQL注入的自动化工具

在上面的例子中，我们使用基于我们丰富的SQL知识的手动攻击技术。 有一些自动化工具可以帮助您在最短的时间内更有效地执行攻击。 这些工具包括

SQL注入的自动化工具

在上面的例子中，我们使用基于我们丰富的SQL知识的手动攻击技术。 有一些自动化工具可以帮助您在最短的时间内更有效地执行攻击。 这些工具包括

• SQLMap - http://sqlmap.org/
  图片.png

• SQLSmack - http://www.securiteam.com/tools/5GP081P75C.html
• SQLPing 2 - http://www.sqlsecurity.com/downloads/sqlping2.zip?attredirects=0&d=1

如何防止SQL注入攻击

组织可以采用以下策略来保护自己免受SQL注入攻击。

• 永远不应该信任用户输入 -在动态SQL语句中使用它之前必须始终对其进行清理。
• 存储过程 -这些可以封装SQL语句并将所有输入视为参数。
• 准备好的语句 -通过先创建SQL语句然后将所有提交的用户数据作为参数处理来准备好的语句。 这对SQL语句的语法没有影响。
• 正则表达式 -这些可用于检测潜在的有害代码并在执行SQL语句之前将其删除。
• 数据库连接用户访问权限 -只应为用于连接数据库的帐户提供必要的访问权限。 这有助于减少SQL语句在服务器上执行的操作。
• 错误消息 -这些消息不应泄露敏感信息以及发生错误的位置。 简单的自定义错误消息，例如“抱歉，我们遇到了技术错误。 已联系技术团队。 请稍后再试“可以使用而不是显示导致错误的SQL语句。

使用Havij进行SQL注入

我们将使用Havij Advanced SQL Injection程序扫描网站中的漏洞。

注意：由于其性质，您的防病毒程序可能会标记它。 您应该将其添加到排除列表或暂停您的防病毒软件。

下图显示了Havij的主窗口

图片.png

上述工具可用于评估网站/应用程序的漏洞。

摘要

• SQL Injection是一种利用错误SQL语句的攻击类型
• SQL注入可用于绕过登录算法，检索，插入，更新和删除数据。
• SQL注入工具包括SQLMap，SQLPing和SQLSmack等。
• 编写SQL语句时的良好安全策略可以帮助减少SQL注入攻击。