Web安全——SQL注入漏洞

Posted 2021-08-29 Ha0_Liu

SQL注入漏洞

• 什么是SQL注入漏洞？
• 一、SQL注入
• • 1、常见SQL注入
  • 2、错误回显导致SQL注入
  • 3、盲注（Bind Injection）
  • 4、Timing Attack
  • • Timing Attack的使用方法：
• 二、数据库攻击技巧
• • 1、常见攻击方式
  • 2、命令执行
  • 3、攻击存储过程
  • 4、编码问题
  • 5、SQL Column Truncation
• 三、防御SQL注入
• • 1、使用预编译语句防御
  • 2、使用存储过程防御
  • 3、使用安全函数防御
• 四、其他注入攻击
• • 其他注入攻击包括：XML注入、代码注入、CRLF注入。
• 总结
• 网安小白又又又来瞎咧咧了！！！如有不足，请多指教！！！

什么是SQL注入漏洞？

注入攻击在OWASP TOP10蝉联了2013、2017两年的榜首，足以看出注入攻击在信息安全行业的地位
注入攻击的两大关键的条件：
(1)、用户可以控制输入；
(2)、原本要执行的代码拼接了用户输入的数据。

一、SQL注入

1、常见SQL注入

以下为一个典型的sql注入的例子

var shipCity;
shipCity = Request.form("shipCity");
var sql = "select * from city where shipCity = '" + shipCity + "'";

变量shipCity的值由用户提交，例如用户输入“Beijing”，则SQL会执行：

select * from city where shipCity = 'Beijing'

但如果用户输入Beijing’; drop table city --

那么SQL语句将执行：

select * from city where shipCity = 'Beijing'; drop table city --'

通过这个例子可以看出，查完数据后，有执行了一个drop表的操作，而这个操作，是用户构造恶意数据的结果，这也就是存在SQL注入。

2、错误回显导致SQL注入

在SQL注入的过程中，如果Web服务器开启了错误回显，则会为攻击者提供了极大的便利，比如攻击者在参数中输入一个’，引起执行查询语句的语法错误，服务器会直接返回错误信息，攻击者会通过错误信息来判断出该服务器数据库的类型、字段等，通过这些信息，攻击者会推断出这条查询语句的伪代码，通过多次尝试，完成SQL注入。

3、盲注（Bind Injection）

对应上一点的Web开启错误回显，盲注指的就是在错误回显关闭的情况下通过构造简单的条件语句并根据返回页面是否发生变化，来判断SQL注入是否成功。
如果在目标URL后插入and 1=1若可以正常返回目标页面，则SQL语句的“and”被执行，那么可以判断出参数“id”存在SQL注入。

4、Timing Attack

此注入方法与2011年3月一位外国小伙儿密切相关（因为这小伙在mysql的官网上找到了漏洞，np），Timing Attack也是盲注的一种特殊技巧。

Timing Attack的使用方法：

在MySQL中，有一个BENCHMARK()函数，用于测试函数的性能，有两个参数BENCHMARK(count, expt)指表达式expt被执行count次。
Timing Attack是利用此函数将同一函数执行若干次，使得结果返回时间比平时长，通过查看运行时间的变化来判断注入语句是否执行成功，是一种边信道攻击。

数据库	函数
MySQL	BENCHMARK(count, expt) or sleep(5)
PostgreSQL	PG_SLEEP(5) or GENERATE_SERIES(1, 10000)
导SQL Server	WAITFOR DELAY ‘0:0:5’

二、数据库攻击技巧

1、常见攻击方式

(1)、通过SQL注入猜测数据库的对应版本：

#版本对应若为4，return true
“URL” and substring(@@version,1,1) = 4 

(2)、通过union select 分别确认表名admin是否存在，列名password是否存在

id = 5 union all select 1,2,3 from admin
id = 5 union all select 1,2,password from admin

(3)、通过判断字符范围，可以猜测出username和password具体的值

id = 5 and ascii(substring((select concat(username,0x3a,password) from users limit 0,1),1,1))>96
id = 5 and ascii(substring((select concat(username,0x3a,password) from users limit 0,1),1,1))>97
#以此类推，直到找出具体值，可使用sqlmap.py代替此过程

2、命令执行

在MySQL中，除了可以通过导入webshell间接地执行命令外，还可以利用“用户自定义函数”的技巧，即UDF（User-Defined Functions）来执行命令

3、攻击存储过程

4、编码问题

5、SQL Column Truncation

三、防御SQL注入

通过分析多种攻击的技巧，从防御的角度来看，要想做好防御需要做两件事：
（1）、找到所有的SQL注入
（2）、修补这些漏洞

1、使用预编译语句防御

使用预编译语句进行防御是防御SQL注入的最佳方式，就是使用预编译语句，绑定变量。
使用方法： 通过将变量用“?”表示，这样攻击者将无法改变SQL的结构。

2、使用存储过程防御

使用方法： 通过避免在存储过程内使用动态的SQL语句，来防御注入攻击，如果避免不了就使用严格的输入过滤或者编码函数来处理用户的输入数据。

3、使用安全函数防御

四、其他注入攻击

其他注入攻击包括：XML注入、代码注入、CRLF注入。

总结

注入攻击是违背了“数据与代码分离原则”导致的结果，有两个条件：一是用户可以控制数据的输入；二是代码拼凑了用户输入的数据，把数据当做代码执行了。
理论上注入攻击可以彻底避免！！

网安小白又又又来瞎咧咧了！！！如有不足，请多指教！！！