个人中心
文章发布
退出
作者热门文章
- 在VisualStudio中部署GDAL库的C++版本(包括SQLite、PROJ等依赖)
- Android开机流程介绍
- STM32CubeMX教程31USB_DEVICE-HID外设_模拟键盘或鼠标
- 深入浅出Java多线程(五):线程间通信
25
4
var sql = "select * from tableName where name='" + "test" + "'";
这个“拼接”的过程很重要,正是这个拼接的过程导致了代码的注入.
如果是一条update/delete语句,就可能会造成严重的后果.
在SQL注入的过程中,如果网站的Web应用程序抛出异常信息,比如攻击者在参数中输入一个单引号“'”,引起执行查询语句的语法错误,而错误信息显示在页面上,对于攻击者来说,构造SQL注入的语句就可以更加得心应手了.
当Web应用程序不显示异常信息,可以使用“盲注”(Blind Injection)的技巧.
所谓“盲注”,就是在服务器没有错误回显时完成的注入攻击。服务器没有错误回显,对于攻击者来说缺少了非常重要的“调试信息”,所以攻击者必须找到一个方法来验证注入的SQL语句是否得到执行.
最常见的盲注验证方法是,构造简单的条件语句,根据返回页面是否发生变化,来判断SQL语句是否得到执行.
比如,一个应用的URL如下:
http://localhost:88/person.aspx?id=2
执行的SQL语句为:
select * from tableName where id=2
如果攻击者构造如下的条件语句:
http://localhost:88/person.aspx?id=2 and 1=2
实际执行的SQL语句就会变成:
select * from tableName where id=2 and 1=2
因为“and 1=2”永远是一个假命题,所以这条SQL语句的“and”条件永远无法成立。对于Web应用来说,也不会将结果返回给用户,攻击者看到的页面结果将为空或者是一个出错页面.
为了进一步确认注入是否存在,攻击者还必须再次验证这个过程。因为一些处理逻辑或安全功能,在攻击者构造异常请求时,也可能会导致页面返回不正常。攻击者继续构造如下请求:
http://localhost:88/person.aspx?id=2 and 1=1
当攻击者构造条件“and 1=1”时,如果页面正常返回了,则说明SQL语句的“and”成功执行,那么就可以判断“id”参数存在SQL注入漏洞了.
在这个攻击过程中,服务器虽然关闭了错误回显,但是攻击者通过简单的条件判断,再对比页面返回结果的差异,就可以判断出SQL注入漏洞是否存在。这就是盲注的工作原理.
利用 MySQL的BENCHMARK()函数,可以让同一个函数执行若干次,使得结果返回的时间比平时要长;通过时间长短的变化,可以判断出注入语句是否执行成功。这是一种边信道攻击,这个技巧在盲注中被称为Timing Attack.
或者使用微软SQL Server的 waitfor delay '0:0:5' 它用来指定等待的时间。如果将该语句成功注入后,会造成数据库返回记录和Web请求也会响应延迟特定的时间。由于该语句不涉及条件判断等情况,所以容易注入成功。根据Web请求是否有延迟,渗透测试人员就可以判断网站是否存在注入漏洞。同时,由于该语句并不返回特定内容,所以它也是盲注的重要检测方法.
比如构造的攻击参数id值为 :
select * from employee where id=1 if(SUBSTRING(DB_NAME(),1,1)='t') waitfor delay '0:0:5'
这段sql判断数据库名的第一个字母是否为t。如果判断结果为真,则会通过waitfor delay '0:0:5'造成SQL执行延时;如果不为真,则该语句将很快执行完。攻击者遍历所有字母,直到将整个数据库名全部验证完成为止.
找到SQL注入漏洞,仅仅是一个开始。要实施一次完整的攻击,还有许多事情需要做。将介绍一些具有代表性的SQL注入技巧。了解这些技巧,有助于更深入地理解SQL注入的攻击原理.
比如构造的攻击参数id值为以下,则是利用union select来分别确认表名admin是否存在,列名passwd是否存在:
select * from employee where id=1 union all select 1 from amdin
select * from employee where id=1 union all select 1,password from amdin
进一步,想要猜解出username和password具体的值,可以通过判断字符的范围,一步步读出来:
select *from employee where id=1 IF ASCII(SUBSTRING((select top 1 city from Customers),1,1))=49 WAITFOR DELAY '0:0:5'
这个过程非常的烦琐,所以非常有必要使用一个自动化工具来帮助完成整个过程。sqlmap.py就是一个非常好的自动化注入工具.
在MS SQL Server中,则可以直接使用存储过程“xp_cmdshell”执行系统命令.
在MS SQL Server中,存储过程“xp_cmdshell”可谓是臭名昭著了,无数的黑客教程在讲到注入SQL Server时都是使用它执行系统命令:
exec master.dbo.xp_cmdshell 'cmd.exe dir c:'
exec master.dbo.xp_cmdshell 'ping'
除了xp_cmdshell外,还有一些其他的存储过程对攻击过程也是有帮助的。 比如 。
学习了SQL注入的相关知识和技术,当发现有SQL注入漏洞的时候,一般都需要发送大量的请求以便从Web应用程序后台的远程数据库中获取需要的信息,这种手动检测方法费时且效率较低,一些专门的软件可以帮助我们进行检测,正确运行这些软件只需要根据界面提示进行相关操作就可以了。这些软件主要有:
从防御的角度来看,要做的事情有两件:
输入验证是指在Web页面代码中,用户提交表单数据前,利用一定的规则对输入的数据进行合法性验证。这里的验证不仅要验证数据的类型,还应该利用正则表达式或业务逻辑来验证数据的内容是否符合要求.
1、ASP.NET应用程序通过System.Web.HttpRequest类获取用户提交的输入。这个类中包含大量Web应用程序用于访问用户提交的数据的属性和方法。如下表所示:
收到的参数主要有4类,分别是Form参数、URL参数、Cookies参数和Session参数。例如在Web服务器端通过ASP获取这些参数的语句如下.
检查输入数据的数据类型。比如输入时间、日期时,必须严格按照时间、日期的格式,等等,都能避免用户数据造成破坏。但数据类型检查并非万能,如果需求就是需要用户提交字符串,比如一段短文,则需要依赖其他的方法防范SQL注入.
"xp_cmdshell","truncate","dump","net user","--","/*"
,"delete","update","insert","exec","count("
,"RESTORE","net localgroup","asc","execute","desc"
,"drop","truncate","char","grant","master","netlocalgroup administrators"
还有大量应用程序允许用户指定排序关键字(ASC或DESC) 。
欢迎关注公众号:
最后此篇关于SQL注入详解的文章就讲到这里了,如果你想了解更多关于SQL注入详解的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
25
4
0
SQL、PL-SQL 和 T-SQL 之间有什么区别? 谁能解释一下这三者之间的区别,并提供每一个的相关使用场景? 最佳答案 SQL 是一种对集合进行操作的查询语言。 它或多或少是标准化的,几乎所有关
这个问题已经有答案了: What is the difference between SQL, PL-SQL and T-SQL? (6 个回答) 已关闭 9 年前。 我对 SQL 的了解足以完成我的
我在数据库中有一个 USER 表。该表有一个 RegistrationDate 列,该列有一个默认约束为 GETDATE()。 使用 LINQ 时,我没有为 RegistrationDate 列提供任
我有一个可能属于以下类型的字符串 string expected result 15-th-rp 15 15/12-rp 12 15-12-th
很难说出这里问的是什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或言辞激烈,无法以目前的形式合理回答。如需帮助澄清此问题以便可以重新打开,visit the help center . 9年前关闭
我有一个存储过程(称为 sprocGetArticles),它从文章表中返回文章列表。这个存储过程没有任何参数。 用户可以对每篇文章发表评论,我将这些评论存储在由文章 ID 链接的评论表中。 有什么方
我目前正在做一个 *cough*Oracle*cough* 数据库主题。讲师介绍embedded SQL作为让其他语言(例如 C、C++)与(Oracle)数据库交互的方式。 我自己做了一些数据库工作
SQL Server 中 SQL 语句的最大长度是多少?这个长度是否取决于 SQL Server 的版本? 例如,在 DECLARE @SQLStatement NVARCHAR(MAX) = N'S
这个问题已经有答案了: Simple way to transpose columns and rows in SQL? (9 个回答) 已关闭 8 年前。 CallType
预先感谢您对此提供的任何帮助。 假设我有一个查询,可以比较跨年的数据,从某个任意年份开始,永无止境(进入 future ),每年同一时期直到最后一个完整的月份(其特点是一月数据永远不会显示至 2 月
我在数据库中有一个 USER 表。该表有一个 RegistrationDate 列,该列的默认约束为 GETDATE()。 使用 LINQ 时,我没有为 RegistrationDate 列提供任何数
下面是我试图用来检查存储过程是否不存在然后创建过程的 sql。它会抛出一个错误:Incorrect syntax near the keyword 'PROCEDURE' IF NOT EXISTS
我有一个同事声称动态 SQL 在许多情况下比静态 SQL 执行得更快,所以我经常看到 DSQL 到处都是。除了明显的缺点,比如在运行之前无法检测到错误并且更难阅读,这是否准确?当我问他为什么一直使用
来自 lobodava 的动态 SQL 查询是: declare @sql nvarchar(4000) = N';with cteColumnts (ORDINAL_POSITION, CO
使用 SQL Server 中的存储过程执行动态 SQL 命令的现实优点和缺点是什么 EXEC (@SQL) 对比 EXEC SP_EXECUTESQL @SQL ? 最佳答案 sp_executes
我有这个有效的 SQL 查询: select sum(dbos.Points) as Points, dboseasons.Year from dbo.StatLines dbos i
我正在调试一些构建成功运行的 SQL 命令的代码。 然而,在查询结束时,查询结果似乎被写入了一个文本文件。 完整的查询如下 echo SELECT DATE,DATETABLE,DATE,APPDAT
我有一些创建表的 .sql 文件(MS SQL 数据库): 表_1.sql: IF OBJECT_ID (N'my_schema.table1', N'U') IS NOT NULL DROP TAB
我写了下面的 SQL 存储过程,它一直给我错误@pid = SELECT MAX(... 整个过程是: Alter PROCEDURE insert_partyco @pname varchar(20
我在 SQL Server 2005 中有包含两列 Fruit 和 Color 的表,如下所示 Fruit Colour Apple Red Orange
我是一名优秀的程序员,十分优秀!