sql盲注

Posted chendeming

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了sql盲注相关的知识,希望对你有一定的参考价值。

  在使用sql语句作为数据库操作方式的系统中,因为程序员处理传入参数不善而导致sql语句功能改变,从而利用这些改变对数据库甚至系统造成信息泄漏、系统破坏的问题成为sql注入。

  sql盲注是sql注入的一种,它通过传入特殊参数,配合系统接口的正常、异常状态返回,达到对系统以及数据库信息进行猜测的目的。

  举个栗子:

    (1)探测到某个接口,内容如下:

      http://www.abc.com?a=1&b=2

      返回值为

      {"state":"1","msg":"Success"}

    (2)后台的在执行功能的时候有如下代码

      String sql = "select * from tb_test where a = \'"+a+"\' ";

      Statement createStatement = conn.createStatement();
      createStatement.executeQuery(sql);

    (3)那么攻击者就可以通过传入这样的参数对系统进行试探:

      a=1%27;select%20*%20from%20user

      也就是a=1\';select * from user

    (4)这时候后台sql会变成

      select * from tb_test where a = \'1\';select * from user

      如果系统中存在user表,返回值为{"state":"1","msg":"Success"}

      如果系统中不存在user表,返回值为{"state":"0","msg":"Error"}  

 

    攻击者就很容易通过这样的手段对系统进行猜测和破坏(假如没有限制执行的是查询,那么参数弄成delete或者update,就可以为所欲为了……)。

 

  解决方法:

    (1)使用PreparedStatement进行sql预编译,用参数化查询的方式处理sql;

    (2)限定sql操作范围,比如使用注解@ReadOnly修饰查询服务等;

    (3)对输入参数进行严格的格式校验,剔除所有可能的异常值;

    (4)使用一些能够处理此类问题的开源框架;

    (5)其他可行方法;

扩展学习

  盲注手法:

    https://www.cnblogs.com/fengh/p/6183928.html

    https://www.cnblogs.com/lcamry/p/5763129.html

  盲注常用方法:

    http://blog.sina.com.cn/s/blog_15e7bc4bb0102wclz.html

  

  逃过appscan盲注的最简单方法:

    http://blog.csdn.net/arthurzil/article/details/6863213

  appscan误报盲注解决方案:

    http://blog.csdn.net/huqingpeng321/article/details/53521616

以上是关于sql盲注的主要内容,如果未能解决你的问题,请参考以下文章

重闯Sqli-labs关卡第二天(5关)

什么是sql盲注

如何用SQLMap进行SQL盲注测试

DVWA——SQL Injection Blind(SQL盲注)

盲注系列sql盲注之时间盲注(附自动化脚本)-系列终篇

SQL盲注