基于滲透測(cè)試的SQL注入的防范

趙燦 秦水介

【摘要】 隨著Internet的進(jìn)一步普及和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，基于Web技術(shù)和數(shù)據(jù)庫架構(gòu)的應(yīng)用系統(tǒng)已經(jīng)逐漸成為主流，但是Web應(yīng)用系統(tǒng)在網(wǎng)絡(luò)中面臨的安全風(fēng)險(xiǎn)與日劇增。Web安全滲透測(cè)試技術(shù)是一種針對(duì)Web應(yīng)用的積極防范技術(shù)。在眾多針對(duì)Web應(yīng)用攻擊手段中，SQL注入攻擊是最常用的也是最易于實(shí)施的方法。本文有針對(duì)性地研究了SQL注入漏洞的相關(guān)防范技術(shù)，并對(duì)防范的細(xì)節(jié)加以敘述。

【關(guān)鍵詞】 SQL注入 滲透測(cè)試 防范

隨著web技術(shù)的發(fā)展，以及腳本語言的簡(jiǎn)單易用，很多公司都進(jìn)行網(wǎng)頁開發(fā)設(shè)計(jì)。但是許多網(wǎng)頁程序員在編寫代碼的時(shí)候，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行嚴(yán)格的判斷和過濾，從而使網(wǎng)頁應(yīng)用程序存在安全隱患和漏洞。SQL 注入攻擊時(shí)針對(duì)腳本系統(tǒng)的攻擊中最常見的一種攻擊方式，也是危害最大的一種攻擊手段。

一、SQL注入的影響

當(dāng)攻擊者們發(fā)現(xiàn)SQL注入漏洞后，下一步就是利用這個(gè)漏洞拿到服務(wù)器的webshell。一旦服務(wù)的被攻陷，服務(wù)器上的敏感數(shù)據(jù)以及公司乃至國家的利益都將受到不可估測(cè)的損失。基于一些不安全的部署，有可能直接會(huì)爆出網(wǎng)站管理員的賬號(hào)和密碼，直接就能對(duì)服務(wù)器的數(shù)據(jù)進(jìn)行刪除，添加以及拷貝等操作。

表名猜解：and exists （select * from admin）

列名猜解：and exists （select pwd/password from admin）

猜解庫中表的個(gè)數(shù)： order by 任意數(shù)

爆用戶名和密碼： http：//www.host.com/test.asp？id=100 and 1=2 union select 1，2，3，4，5，6…from admin

步步結(jié)束的過程，就是利用sql注入漏洞攻陷服務(wù)器的過程。

二、SQL注入攻擊防范

2.1編程防范

2.1.1對(duì)用戶輸入的數(shù)據(jù)進(jìn)行過濾

對(duì)用戶輸入的數(shù)據(jù)進(jìn)行過濾是防止SQL注入攻擊的關(guān)鍵所在，常見的過濾方式基礎(chǔ)過濾，二次過濾以及SQL通用防注入程序等多種方式。在SQL注入入侵前，需要在可修改參數(shù)中提交“ ‘”，“and”等字符來判斷是否存在SQL注入漏洞，在進(jìn)行SQL注入攻擊時(shí)，要提交包含“--”，“update”，“select”等特殊字符的SQL注入語句。例如圖1所示。

基于一些不安全的部署，有可能直接會(huì)爆出網(wǎng)站管理員的賬號(hào)和密碼，直接就能對(duì)服務(wù)器的數(shù)據(jù)進(jìn)行刪除，添加以及拷貝等操作。

2.1.2設(shè)置錯(cuò)誤提示信息

SQL注入主要依據(jù)是IIS給出的ASP錯(cuò)誤信息，所以配置IIS和數(shù)據(jù)庫用戶權(quán)限，可以防止SQL注入攻擊。

2.2 數(shù)據(jù)庫防范

數(shù)據(jù)庫文件是網(wǎng)站運(yùn)行過程中的核心文件，對(duì)數(shù)據(jù)庫安全防范措施中，最為直接和簡(jiǎn)單的辦法就是對(duì)本機(jī)數(shù)據(jù)庫文件的安全防范。修改數(shù)據(jù)庫的下載地址，在數(shù)據(jù)庫屬性欄里，選擇重定向到URL。修改數(shù)據(jù)庫文件名。但是只是簡(jiǎn)單的對(duì)網(wǎng)站數(shù)據(jù)庫文件的后綴進(jìn)行更改，是不能保證不被拖庫的，還需另外一種方法，即在數(shù)據(jù)庫文件名中添加#符號(hào)，如#123.asp。通過添加#號(hào)就可以一定程度上防止數(shù)據(jù)庫被下載。修改數(shù)據(jù)庫離默認(rèn)的sa用戶空口令，嚴(yán)格控制數(shù)據(jù)庫用戶的權(quán)限，不輕易讓用戶對(duì)表有直接查詢，更改，插入和刪除的權(quán)限。修改不必要的擴(kuò)展存儲(chǔ)過程。

三、防范遇到的問題

此時(shí)我們按照上面的做法的確能夠防范到一部分的攻擊，但是并不是所有的編程人員都能意識(shí)到安全問題，并不是所有的輸入都能被檢測(cè)截?cái)啵缥覀冊(cè)趙af上布置策略，過濾關(guān)鍵字，但是攻擊者依然能夠用空格，分號(hào)，大小寫等繞過關(guān)鍵字的檢測(cè)，來繞過安全設(shè)備進(jìn)入內(nèi)網(wǎng)。

四、結(jié)束語

網(wǎng)絡(luò)攻擊利用這些存在的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行攻擊。如何更好的預(yù)防SQL注入，廣大的安全工作者們?nèi)沃囟肋h(yuǎn)。在這場(chǎng)攻擊與防御的拉鋸戰(zhàn)中，越來越多的攻擊者與安全人員加入進(jìn)來。在現(xiàn)在這個(gè)網(wǎng)絡(luò)即世界的大環(huán)境下，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)也是一觸即發(fā)。 如何做到保護(hù)小家到大家的安全，都要我們不懈努力。

參 考 文 獻(xiàn)

[1] 陳小兵，張漢煜，駱力明，黃河.SQL 注入攻擊及其防范檢測(cè)技術(shù)研究[J].計(jì)算機(jī)工程與應(yīng)用，2007，43（11）：150-152.

[2]SQL注入與防御：第二版/（美）克拉克（Clarke，J.）著

[3]https：//technet.microsoft.com/en-us/library/cc512676.aspx

[4]徐陋，姚國祥.SQL 注入攻擊全面預(yù)防辦法及其應(yīng)用[J].微計(jì)算機(jī)信息， 2006，22（3）：10-12.

[5]劉帥.SQL 注入攻擊及其防范檢測(cè)技術(shù)的研究[J].電腦知識(shí)與技術(shù)，2009，5（28）：7870-7872