SQL注入攻擊與防范研究

天津市信息中心應(yīng)用處 劉云志

SQL注入攻擊與防范研究

天津市信息中心應(yīng)用處 劉云志

SQL注入攻擊是指攻擊者利用提交專門設(shè)計(jì)的數(shù)據(jù)庫查詢代碼，欺騙服務(wù)器執(zhí)行惡意的SQL命令，從而獲取用戶密碼等保密信息，甚至獲取主機(jī)控制權(quán)限的行為。SQL注入攻擊利用的是SQL語法，由于其廣泛性、易學(xué)性和難以捕獲性已經(jīng)逐漸成為互聯(lián)網(wǎng)上的主流黑客攻擊方式。目前，互聯(lián)網(wǎng)上的多種Web應(yīng)用程序都面臨SQL注入的危險(xiǎn)，多家網(wǎng)站都曾經(jīng)或正在被SQL注入攻擊，這種攻擊目前正在加速泛濫。統(tǒng)計(jì)表明，在互聯(lián)網(wǎng)上的Web服務(wù)器遭受的各類應(yīng)用層攻擊中，SQL注入占有極大的比例。

由于多數(shù)程序員不了解SQL注入漏洞的知識，目前互聯(lián)網(wǎng)上網(wǎng)站經(jīng)常遭受SQL注入攻擊。本文，筆者針對PHP+MySQL型和ASP+SQLServer型Web程序的SQL注入攻擊防范措施進(jìn)行了詳細(xì)闡述，并給出了預(yù)防SQL注入漏洞的方法，有助于提高Web應(yīng)用程序員的安全意識和Web程序的安全性。

一、SQL注入原理

1. SQL注入原理。SQL注入攻擊是指黑客在用戶交互端精心編寫一些SQL語句，把特殊的SQL指令語句插入到系統(tǒng)實(shí)際SQL語句中并執(zhí)行它，從而獲取主機(jī)控制權(quán)限的攻擊方法。SQL注入是從正常的WWW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別，所以目前市面上的防火墻不會對SQL注入發(fā)出警報(bào)。以PHP語言為例，如果用戶的輸入能夠影響腳本中SQL命令的生成，那么很可能在添加了單引號、#號等轉(zhuǎn)義命令字符后，能夠改變最終生成的SQL命令。

2. 舉例說明。如果程序員在編程時(shí)沒有對用戶輸入的變量$U和$P進(jìn)行合理的限制，當(dāng)攻擊者把用戶名輸入為admin’#的時(shí)候，輸入字符串中的單引號和腳本中的單引號形成配對，而輸入字符串中的“#”號對于mysql語言來說是行注釋符，后邊的語句將被當(dāng)做注釋處理掉。這使攻擊者可以輕易繞過身份驗(yàn)證機(jī)制，因此，沒有正確密碼也能看到管理員的信息。對于SQL注入攻擊，很多程序員對它仍然沒有足夠的重視，編寫的網(wǎng)站中遺留了大量SQL注入攻擊漏洞。加上許多專門的SQL注入軟件(如NBSI)的“蓬勃發(fā)展”，使得一個(gè)既不懂編程又不懂SQL的人，只要知道如何操作這個(gè)軟件就可以輕而易舉地入侵一家網(wǎng)站。

二、SQL注入攻擊的特點(diǎn)

1.廣泛性。SQL注入攻擊利用的是簡單的SQL語法，因此所有基于SQL語言標(biāo)準(zhǔn)的Web應(yīng)用程序都可能成為SQL注入攻擊的目標(biāo)。如果沒有對輸入的SQL語句做嚴(yán)格的技術(shù)處理，理論上都會存在SQL注入漏洞安全隱患。市場上主流的Web應(yīng)用程序均發(fā)現(xiàn)存在SQL注入漏洞的問題。

2.危害大。通過SQL注入攻擊可以控制整個(gè)Web應(yīng)用系統(tǒng)，在不經(jīng)授權(quán)的情況下對數(shù)據(jù)做任意地修改，甚至惡意篡改網(wǎng)頁的內(nèi)容，破壞性極大。

3.技術(shù)要求低。目前互聯(lián)網(wǎng)上出現(xiàn)了許多SQL注入攻擊工具，如明小子、桂林老兵等都是非常出名的攻擊工具。攻擊者無需專業(yè)知識，直接利用此類工具軟件便可隨意地對存在SQL注入攻擊漏洞的網(wǎng)站實(shí)施攻擊。

三、SQL注入攻擊檢測與防范

目前針對Web服務(wù)器的SQL注入攻擊技術(shù)層出不窮，但其內(nèi)部機(jī)理都是利用畸形的SQL語句通過客戶端瀏覽器與服務(wù)器之間的共享連接來實(shí)現(xiàn)繞過認(rèn)證獲取敏感信息。如何讓系統(tǒng)管理者采取有效的防范措施阻止內(nèi)部信息的泄露，將整個(gè)系統(tǒng)的威脅降至最低，是目前服務(wù)器防守的關(guān)鍵。

1. SQL注入攻擊檢測方法。SQL注入攻擊檢測分為入侵前的檢測和入侵后的檢測，入侵前檢測可以手工測試也可以通過軟件檢測，入侵后檢測主要是針對日志的檢測。

（1）數(shù)據(jù)庫檢查。使用HDSI、NBSI和Domain等SQL注入攻擊軟件工具進(jìn)行SQL注入攻擊后，都會在數(shù)據(jù)庫中生成一些臨時(shí)表。通過查看數(shù)據(jù)庫中最近新建表的結(jié)構(gòu)和內(nèi)容，就可以判斷是否曾經(jīng)發(fā)生過SQL注入攻擊。

（2）IIS日志檢查。在Web服務(wù)器中如果啟用了日志記錄，則IIS日志會記錄訪問者的IP地址、訪問文件等信息，SQL注入攻擊往往會大量訪問某一個(gè)頁面文件（存在SQL注入點(diǎn)的動態(tài)網(wǎng)頁），且日志文件也會急劇增加。

2. 一般SQL注入攻擊的防范方法。

（1）IIS服務(wù)器安全設(shè)置。攻擊者常用錯誤信息判斷SQL漏洞是否存在，可以修改IIS的返回信息，使得所有錯誤返回一樣的信息，攻擊者無從獲取網(wǎng)站信息。可以修改C：WINDOWSHelp iisHelpcommon目錄下的500-100.asp文件為統(tǒng)一格式的500.htm。對于靜態(tài)網(wǎng)站，一般不設(shè)置腳本可執(zhí)行權(quán)限，動態(tài)網(wǎng)站也只設(shè)置純腳本權(quán)限。對于用戶上傳的文件設(shè)置為無可執(zhí)行權(quán)限，上傳文件夾不放置系統(tǒng)配置文件。IIS如無匿名登錄需求，則可取消該項(xiàng)服務(wù)。

（2）功能代碼端設(shè)置。程序員要習(xí)慣將應(yīng)用系統(tǒng)中的密碼字段進(jìn)行加密(如最常見的MD5加密)，這不僅僅是為了隱藏用戶信息，尊重用戶隱私，更重要的是提高系統(tǒng)的安全性。也就是在程序中要對用戶輸入的信息進(jìn)行檢驗(yàn)，以達(dá)到SQL攻擊的防御效果。目前這種檢驗(yàn)方法一般有2種：替換或刪除敏感字符串，在服務(wù)器正式處理前對提交數(shù)據(jù)進(jìn)行檢驗(yàn)。

（3）SQL Server安全配置。用于程序連接數(shù)據(jù)庫的用戶不應(yīng)使用服務(wù)器角色組，而應(yīng)使用數(shù)據(jù)庫用戶角色組成員。SA級別的權(quán)限是不能隨便配置的，黑客SQL注入得手后調(diào)用xp_cmdshell命令就可以得到系統(tǒng)的最高權(quán)限。最好的方法是只給予db_Reader和db_ Writer權(quán)限，遇到有需要備份的用戶最好另行新建用戶。SQL Server可以精確地設(shè)置某一數(shù)據(jù)庫中各個(gè)表的select、update、delete等操作的權(quán)限，開發(fā)人員應(yīng)根據(jù)應(yīng)用系統(tǒng)的不同功能要求，合理地配置好這些權(quán)限。

（4）對系統(tǒng)一級的設(shè)置。例如，使用防火墻關(guān)閉TCP1433和UDP1434端口對外的連接，給系統(tǒng)和SQL Sevrer甚至IIS打上最新的補(bǔ)丁，及時(shí)檢查系統(tǒng)是否出現(xiàn)弱口令用戶，一旦發(fā)現(xiàn)要及時(shí)修改密碼等。