SQL注入。有攻有防。知道进攻。才懂得防守.4 k z0 W8 }9 w
5 e' H* [/ ?% ?# c) G有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。7 p' R2 v. F3 I; Q3 q9 l( K
! W$ b' n; {" j
唱出会删除或者净化一些字符,或者阻止常用的sql关键词。
& r& o9 O" n4 x/ @5 V( b4 a
4 I3 ]1 e2 N8 R我们通常有以下几种技巧,去避开这些过滤。% \; \ E$ c; X/ J9 W$ d4 \* F
# _9 v7 B- Z4 _2 j6 V
1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。
! ]; p3 m6 r4 Y: `5 U3 V* [7 D0 \: y: |' r# D
A,如果注入一个数字数据字段,就不需要使用单引号。$ J: n2 d* @- {( g* ?7 `& \
}3 b' E( Q* k* OB,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。, z7 j1 I' K E& ~( v) K$ n
) l; s6 _$ j" u3 ]0 \3 ]% }; }
比如, ?id=1′ 这里存在注入,过滤了注释符合,我们可以输入 ?id=1′ or ‘a’=’a6 C! [5 G9 E, A# l" {) e
/ O% ^( h4 j4 `. o; ^0 S7 G目的其实很简单,就是把后面的单引号给闭合掉。
( l0 E+ V' ?: g4 I0 l& X
. I6 v6 A! M3 l3 Y& U9 |1 P: t4 qC,在一个MSSQL注入中注入批量查询的时候,不必使用分号分隔符。 y6 Y! S# s0 Y+ N5 X
" m; B _7 i/ b
只要纠正所有批量查询的语法,无论你是否使用分号,查询的解析器依然能正确的去解释它们的。
2 M7 G, u" u; s3 N7 {* s6 A. @$ z! s, R, R: Z+ C
2,避免使用简单确认
/ _- W5 W2 A# ?2 K: W# q: L# v# ^0 K) {1 z
一些输入确认机制使用一个简单的黑名单,组织或删除任何出现在这个名单中的数据,比如防注入程序。* w) Q4 m8 K' }' j
- D+ ]0 P# \: j
这一般要看这个机制是否做的足够的好了,黑名单是否足够能确保安全。如果只是简单的黑名单,那也有机会突破的。
# O; S. x' x/ c6 ?0 y0 u4 c S0 d. t6 T
A,如果select关键词被阻止或删除. A- p1 z9 D V+ F, U: D9 ~
/ H O3 e7 s$ E+ ^ P- T
我们可以输入:
o# I& q! W9 G- \5 {+ J5 d/ T+ C$ \
SeLeCt 注意大小写
% C B: b6 S: X1 t. D% R& A2 Z- V6 k
selselectect 还记得ewebeditor是怎么过滤asp的么?
1 C; y8 S" g' a2 E. R; h: `% e$ [2 _( @, G
%53%45%4c%45%43%54 URL编码) T8 _# ?: o3 D$ |* J) M n6 O
$ v! ~% F, y: {3 V; |%2553%2545%254c%2545%2543%2554 对上面的每个%后加了一个25 a0 r [ \9 Z' x* E
) y" }1 w& R" W: y' _$ }$ f
3,使用SQL注释符
& o% K0 S0 S! x7 l% A, c+ ]( v) c5 G; M! [
A,使用注释来冒充注入的数据中的空格。
) c$ q( g7 a7 \# g" g- N; R# O' y8 T% [0 c6 K) [9 ]
select/*yesu*/username,password/*yesu*/from/*yesu*/admin/ u! C3 e* J# T/ m+ Z; Q
/ e+ R9 V- t! j2 U3 t% ]6 M/*yesu*/来冒充空格+ t: Z- ]4 g5 t
5 N5 g! a4 `/ r1 P3 ~& u) qB,使用注释来避开某些注入的确认过滤。% K% A- u0 C" W3 p! c) J; k3 R# a$ @
' M9 {2 p( L) c1 V0 x0 G
SEL/*yesu*/ECT username,password fr/*yesu*/om admin
0 b6 e. ~( i+ ?: W2 c! v0 Y2 e2 x1 Q$ k2 l: ~
4,处理被阻止的字符串
, O# E- f% E6 \1 b- b3 g( N4 e& L+ z# Q2 ?/ O' l
比如,程序阻止了admin,因为怕攻击者注入admin表单中的数据。
. M( q2 {+ c! y$ X" h' T8 d6 p$ P$ b: C( e# W
我们可以这样0 {: R g5 o* d5 }
' `( H, x4 \- I+ \# b6 a
A,oracle数据库: ‘adm’||’in’
8 ]) m$ ~0 m" n! M' D' X1 F; Q! g4 J( |' |8 D. |+ S! M4 T5 G! n, n
B,MSSQL数据库: ‘adm’+’in’
, L8 [+ A& Z" E, ?# k& r m
: t$ R: K( H$ v# HC,MYSQL数据库: concat (‘adm’,’in’)
% n' P# W$ S& I/ b0 A" J/ Y& u
' o2 L+ H1 S: j# h) u3 lD,oracle中如果单引号被阻止了,还可以用chr函数( L. p1 f3 t) Y6 F0 N
8 z! D: Q; g: M: @ d0 lsleect password from admin where username = char(97) || chr(100) || chr(109) || chr(105) || chr(110)6 ?4 T/ v3 L' W+ K( K, \, ^
8 C. [8 b' `& f" ]( `% Y9 N还有其他方法。正在收集中.9 O$ P& F/ l7 _+ i+ v6 [* v) U- D
9 b: M9 V, X7 {$ H- t4 ]; q
|
发表于 2013-1-13 09:50:58
收藏
支持
反对