SQL注入攻击的原理分析与防范

上海电力学院计算机安全技术大作业题目:SQL注入攻击的原理与防范学号：2009学生姓名：院系：计算机与信息工程学院专业：软件工程班级：2009XXX2012年6月2日2SQL注入攻击的原理及防范引言：随着网络技术的迅猛发展，计算机网络已经成为人们工作生活中的重要组成部分，在各个领域迅速普及，整个社会对其的依赖程度越来越大。因此网络安全的工作刻不容缓。本文对SQL注入技术注入攻击的方法、原理以及攻击实施过程进行了阐述和总结，并给出了常见的一些SQL注入攻击防范方法。摘要：随着网路安全意识的增强，单一方法的渗透测试已经不能满足远程渗透的需要。更为有效的远程渗透测试采用的是渐进式的综合攻击技术，突破内网提取目标主机的权限，以最终获取机密资料。因此SQL注入攻击为主的web脚本攻击作为进入内网的首选，成为黑客渗透测试中重要的技术之一。关键字：SQL注入，web应用程序IIS防范一、什么是SQL注入攻击SQL注入（StructuredQueryLanguageInjection）技术在国外最早出现在1999年，我国在2002年后开始大量出现，目前没有对SQL注入技术的标准定义，微软中国技术中心从2个方面进行了描述：（1）脚本注入式的攻击（2）恶意用户输入用来影响被执行的SQL脚本我理解的SQL注入，就是攻击者通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到让后台数据库执行恶意的SQL命令的目的，并根据程序返回的结果，获得某些攻击者想得知的数据。二、可能导致SQL注入的隐患1、随着B/S（浏览器/服务器）模式应用开发的发展，从事动态网页以及脚本编程的程序员越来越多，在一段不长的时间里，新手往往就已经能够编出看来比较完美的动态网站，在功能上，很容易就能实现。但是因为程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候存在漏洞，给攻击者提供便利条件。2、系统对用户输入的参数不进行检查和过滤，没有对用户输入数据的合法性进行判断，或者程序中本身的变量处理不当，使应用程序存在安全隐患。33、因为SQL注入主要是针对web应用程序提交数据库查询请求的攻击，与正常的用户访问没有什么区别，所以能够轻易的绕过防火墙直接访问数据库，甚至能够获得数据库所在的服务器的访问权限。三、SQL注入的主要危害1、未经授权状况下操作数据库中的数据，比如管理员密码，用户密码等信息；2、恶意篡改网页内容，宣传虚假信息等；3、私自添加系统帐号或者是数据库使用者帐号；4、网页挂广告、木马病毒等；5、上传webshell，进一步得到系统权限，控制电脑.获得肉鸡。6、……四、SQL注入实现原理SQL注入攻击技术就其本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用程序中插入一些SQL语句时，SQL注入攻击就发生了。攻击者直接将代码插入与SQL命令串联并执行的用户输入变量中，间接的将恶意代码注入要在表中存储或作为元数据存储的字符串，在存储的字符串随后串连到一个动态SQL命令中时，执行该恶意代码。SQL注入攻击是存在于常见的多连接的应用程序中的一种漏洞，攻击者通过在应用程序预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。这类应用程序一般是Web应用程序，它允许用户输入查询条件，并将查询条件嵌入SQL语句中，提交到数据库中执行。通过构造畸形SQL语句攻击者能够获取额外的信息数据。五、SQL注入的特点1、广泛性：SQL注入攻击可以跨越Windows、UNIX、Linux等各种操作系统进行攻击，其攻击目标非常广泛。而且当前web应用程序应用广泛，而存在的漏洞也都大体具有相似性。2、隐蔽性4SQL注入是从正常的（80）端口访问，它是为HTTP即超文本传输协议开放的，是万维网传输信息使用最多的协议。通过该端口的数据都是被防火墙所许可的，因此防火墙不会对SQL注入的攻击进行拦截，使得攻击者可以顺利的通过防火墙。如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。3、攻击时间短可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制。4、危害大目前的电子商务等都是基于WEB的服务，交易量巨大，一旦遭到攻击后果不堪设想。另一方面，是关于个人信息的窃取，用之前的CSDN用户资料泄露来说引起了很大的社会反响。六、SQL注入攻击过程进行SQL注入时一般会用到两种方式，第一是手工注入，第二是工具注入。我了解到的对于猜解管理员的密码方面一般用Pangolin或者NBSI，找后台一般用明小子,啊D。其总体思路是：（1）扫描目标网络信息（判断是否存在SQL注入漏洞）；（2）判断后台数据库类型；（3）发现WEB虚拟目录（4）上传ASP木马；（5）得到管理员权限。详细介绍如下：1、SQL注入一般存在于形如：=YY的网站中。2、在=YY后面追加“and1=1”，并访问该网址即=YYand1=1应该与访问原地址得到的结果相同。3、在=YY后面追加“and1=2”，并访问该网址即=YYand1=2应该与访问原地址得到的结果不同，并提示数据库错误。（2，3同时满足则此网站必定存在SQL漏洞，可以进行sql注入攻击。）54、访问=YYandexists(select*from网站数据库常用表段名)网站数据库常用表段名：adminusersadministrator等，如果进入的网页像步骤二一样，是正常网页，证明存在该表段名。找寻该SQL数据库使用的表名，进而寻找网站的管理员名、密码等信息。5、访问=YYandexists(select[网站数据库常用字段名]from第4步找到的可入侵表名)网站数据库常用字段名：adminpasswordusername等，如果进入的网页像步骤2一样，是正常网页，证明存在该字段名。找寻该SQL数据库使用的字段名，进而寻找网站的管理员名、密码等信息。6、访问=YYandexists(select*from第4步找到的可入侵表名where第5步找到的可入侵字段名like'_‘)7、访问可入侵后门字段名，找到网站后门。8、利用从数据库中查到的敏感数据进入网站后门。七、SQL注入实例演示利用Pangolin工具实现针对MSSQL环境的SQL注入攻击。1.在本地主机上通过InternetExplorer等Web浏览器访问目标Web服务器（即WindowsServerA，IP地址为192.168.1.103）的主页。点击其中的某一新闻链接后即访问显示出具体的某一新闻内容。比如=162.在访问的网页URL地址后加上一个单引号（'）继续访问，即=1'，如下图所示：从图中可以看到数据库连接出错消息中可以看到如下错误消息“字符串''之前有未闭合的引号。”，也就是单引号没有闭合的意思。3.继续手动测试SQL注入是否存在：访问如下网页URL地址：=1and1=1以及=1and1=2其中访问第一个网页地址的情况与正常情况相同，而访问第二个网页地址则一片空白，即新闻文档不存在的意思。4.进入实验工具目录，双击运行Pangolin程序（pangolin.exe），在注入地址“URL”输入框中输入=17然后点击工具栏中的开始按钮开始自动检测SQL注入漏洞情况。从检测结果中可以看到，该网站的SQL注入类型为“Integer（字符型）”，后台数据库类型为“MSSQLwithError”。5.在主界面中的“Information”选项卡中，点击“SelectAll”按钮选择所有信息类型，包括下面所列举的“Version”、“DbName”、“ServerName”等，然后点击“Go”按钮开始探测目标服务器的基本信息。86.在主界面中选择“Data”选项卡，点击左下方的“Tables”按钮来枚举目标当前数据库中存在的所有数据表的名称。7.点击选择数据库中的“admin”表，然后点击下方的“Columns”按钮来枚举该数据表中所有的数据列名。展开“admin”表前面的“+”号可以查看详细的列名信息。8.勾选感兴趣的数据表以及其中的数据列，如admin表中的id、username以及password列，然后点击右侧的“Datas”按钮则可以枚举该表中的所有数据项内容。在这里，我们还可以通过自定义查询条件来自定义查询所感兴趣的数据内容，默认为“1=1”表示所有的数据内容。9.在主界面中选择“Command”选项卡，然后在“Command”输入框中输入要在目标服务器上执行的系统命令，比如“ipconfig”等；在“Type”下拉框中选择执行命令的技术方法，默认为“xp_cmdshell”，其他可选的主要方法有“sp_oa***”等。最后点击右侧的“Execute”按钮执行命令，可在下方的黑色文本框中看到执行结果。10.选择“type”为“sp_oa***”，尝试执行添加用户的命令操作。11.在主界面中选择“DirTree”选项卡，然后点击“Drivers”按钮列举目标服务器上的所有驱动器。双击“C:\”节点可以进一步展开获得C:\根目录下的所有子目录和文件，依次可以获得磁盘上的目录结构。12.双击某一文件，可以在右侧的文本框中显示文件的详细内容。913.仔细查看“C:\inetpub\”目录中的网站文件，获得连接后台MSSQL数据库的账号和密码。八、SQL注入攻击的防范1、SQL注入攻击防范方法：（1）程序员加强自身技术水平，使用固定开发的标准；（2）在提交服务端处理之前对数据的合法性进行检查；（3）封装客户端提交信息；（4）替换或删除敏感字符、字符串；（5）错误信息不返回给用户；（6）数据敏感信息非常规加密，防止信息外泄。（7）加强数据库检查（表结构是否出现异常、是否有多余数据等）、IIS日志检查（SQL注入攻击往往会大量访问某一个存在漏洞的网页，日志文件会急剧增加，通过查看日志文件的大小以及日志文件中的内容。）；（8）不用字串连接建立SQL查询，而使用SQL变量，因为变量不是可以执行的脚本；（9）使用SQL注入防范系统。102、SQL注入攻击防范系统：防范系统对访问网页提交的关键字（包括Get、Post方式以及cookie）进行过滤，一旦发现违法的关键字的时候（如‘、；、and、exec、select、insert等）就提示非法访问，并将该IP地址存入服务器黑名单数据库，使得该IP不能再访问该网址。SQL注入防范系统的流程图：用户提交的数据服务器端检测服务器端的黑名单中是否存在该IP地址服务器端检测用户提交数据否检测是否合法正常访问网站是禁止访问所请求的url地址是否将该IP存至服务器的黑名单开始结束113、web应用部署前使用预防工具进行严格的安全性测试，如Pangolin。Pangolin（中文译名为穿山甲）一款帮助渗透测试人员进行Sql注入测试的安全工具，是深圳宇造诺赛科技有限公司(Nosec)旗下的网站安全测试产品之一。Pangolin能够通过一系列非常简单的操作，达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系