SQL注入。有攻有防。知道进攻。才懂得防守.
% H% Z: N8 Z9 U7 i$ B6 r' Y
1 w: F+ y0 z9 B* I有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。- ~% {; Z( A" I
5 C, ]7 W8 l' G# k
唱出会删除或者净化一些字符,或者阻止常用的sql关键词。- f1 w& z- O& n2 t' q9 J
4 ?' H' z/ s9 A8 Y4 L' ?- y我们通常有以下几种技巧,去避开这些过滤。9 U9 B' n9 U& y9 v- C
/ G3 k: K. Q4 R3 p1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。) [3 r1 }4 A P7 w; c/ x8 n: Q
% g& x5 b% C" u5 X1 x8 J3 m2 @% f m
A,如果注入一个数字数据字段,就不需要使用单引号。
0 ]6 F: Y! w) n* m6 @% z- H. F, }8 z* p' t. V% v
B,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。
/ c3 D! Y6 z+ E1 o( C+ K2 @# H# V
比如, ?id=1′ 这里存在注入,过滤了注释符合,我们可以输入 ?id=1′ or ‘a’=’a! u' a, @! ^5 O/ T. E
( X2 M7 z8 P0 U目的其实很简单,就是把后面的单引号给闭合掉。
( m0 y. D4 s, O. T C$ c& T+ `
0 S7 W5 T; P! f# x. Y3 P; ]0 e* jC,在一个MSSQL注入中注入批量查询的时候,不必使用分号分隔符。
% W' |& @4 A3 m8 y5 [3 O) x# f$ j0 T2 y
只要纠正所有批量查询的语法,无论你是否使用分号,查询的解析器依然能正确的去解释它们的。* C6 o! p4 c" |% }
9 E6 R O( @# P. p _4 o
2,避免使用简单确认' z* a! c9 O- m* Z
% F" b% f) ], ~+ Q+ T. b) h6 p一些输入确认机制使用一个简单的黑名单,组织或删除任何出现在这个名单中的数据,比如防注入程序。# ?( h; V; }9 v# E% Z
9 B1 I) Q3 E. l5 Q1 |/ w这一般要看这个机制是否做的足够的好了,黑名单是否足够能确保安全。如果只是简单的黑名单,那也有机会突破的。
. t# j: Q$ @: d3 R& V. C6 M# O) t7 f' i3 @
A,如果select关键词被阻止或删除* }8 r; ], x( X) ?4 u
" q/ R" J: V# W( L1 N我们可以输入:# m8 b" W4 N1 R+ x2 U4 z" c1 T
+ O, [& @3 c9 r( d4 j
SeLeCt 注意大小写5 o% j# D; F; G" t* @
! |, g H- F% p ~( ]0 l" iselselectect 还记得ewebeditor是怎么过滤asp的么?
8 Y9 E$ B/ n% m W! L! b5 R0 x& f! D3 j) D+ I% A( d
%53%45%4c%45%43%54 URL编码- F! n3 S% k- W' f
) l! t4 c; ?, B! `- s7 |0 J! `%2553%2545%254c%2545%2543%2554 对上面的每个%后加了一个257 ^5 y, N: U P
0 U4 q8 w* S1 R J! ~4 s3,使用SQL注释符5 a) v& f( G% c3 ]! x$ g7 n0 A0 i
& A5 @+ m0 e. x; w. m6 i
A,使用注释来冒充注入的数据中的空格。
/ L/ F( j3 K+ h& D* U6 {
6 w6 h% W. o7 n1 w7 }( t5 j H# C yselect/*yesu*/username,password/*yesu*/from/*yesu*/admin
& R' i' n) S. }/ ], g& ^. U- s& P; T) i
/*yesu*/来冒充空格
' A \5 G5 C7 ~% R% Y
2 w! `/ f" r/ H& `. q; n1 IB,使用注释来避开某些注入的确认过滤。
) j1 L x& {1 `) l$ M7 `
5 C9 G0 [* g$ v( VSEL/*yesu*/ECT username,password fr/*yesu*/om admin, i+ I5 @+ P$ y+ k1 E, |) R; s
: A( I/ a2 x# _
4,处理被阻止的字符串, l) f/ j/ ?) ?
2 X6 S* H& D- Q4 P" o) E比如,程序阻止了admin,因为怕攻击者注入admin表单中的数据。
% f( c1 u& R" ]: P9 L$ p. e! Y$ b6 W* _: O1 I% M
我们可以这样2 ]5 s' y& s! P
7 m5 i( M: q2 U3 Y J/ I5 t
A,oracle数据库: ‘adm’||’in’
9 o3 n) x! v5 N) P# U1 q+ Y" G: G
0 N, B( e P. H# sB,MSSQL数据库: ‘adm’+’in’
4 V) {( w; ~% Y& @& [' g. |/ e
+ O% {: Q$ m6 GC,MYSQL数据库: concat (‘adm’,’in’)
4 J/ o- j' f0 S" ]
4 o9 n+ ]8 R/ S& C' nD,oracle中如果单引号被阻止了,还可以用chr函数
5 q0 ]1 G; i2 |! E6 P0 V+ U6 A4 k2 t, ~" i S% j9 L3 d5 O! n
sleect password from admin where username = char(97) || chr(100) || chr(109) || chr(105) || chr(110); ^; p: a# m: ?/ z4 I) N0 s
/ H( R" f+ ]! n0 I1 t$ i还有其他方法。正在收集中.
J$ a% b d* M/ p7 ]
$ F& p* B4 D$ h0 z5 R7 y |
发表于 2013-1-13 09:50:58
收藏
支持
反对