| 关键词: 字段 数据库 查询 SQL 错误 语句 引号 数据 输入 用户 |
什么是SQL注入?Web应用程序在向后台数据库传递SQL语句查询时,如果攻击者可以影响该查询的能力,就会引发SQL注入! (缺乏对用户输入数据的合法性检查,传递的参数是可控的,则可以构造不同的SQL语言,来实现对数据库的操控!) SQL注入的产生过程
转义字符处理不当 SQL数据库会将单引号(')解析为代码与数据的分界线: 输入框输入:tony 构造自己的查询语句: 在Oracle数据库中,还有"空格","||",",",".","*/","""(双引号)等等具有特殊含义的转义字符,我们可以利用其特殊含义,去拼接要执行的SQL语句! 类型处理不当 加入查询的数据(参数)为数字类型,开发人员不会在数字类型外面添加单引号! 比如: 攻击者在构造SQL语句的时候,没有必要使用单引号来转义查询: 所以,攻击者常常使用1' and 1='1和1 and 1=1来判断查询的字段是数字类型还是字符类型!(具体判断,下文会提及!) 查询语句组装不当 开发人员在构造动态SQL语言中,以表名或字段名作为查询参数,这样的组装容易导致攻击者使用自己的表名和字段名来替换查询,比如GET请求查询,替换URL中的表名和字段名! 导致了users表中的字段user和password的信息泄漏: 错误处理不当 开发人员将详细的错误消息显示在页面上! 攻击者可以根据错误消息来提取有用信息: 利用: 根据报错信息,不断变化order by后面的数字,来获取表中的字段数! ![]()
保证应用程序的代码的安全是首要任务,但也不能忽略数据库本身的安全! MySQL:使用root和anonymous用户账户! Oracle:默认创建的数据库 - SYS,SYSYTEM,DBSNMP,OUTLN等,并且密码也默认! SQL Server:用sa作为数据库系统管理员账户! 安装数据库服务时,允许以root,sa,SYSTEM等特权用户来执行操作,一旦数据库遭到攻击,破坏力太大! 没有对元数据的访问设置权限!(元数据指数据库系统内部包含的数据,比如数据库名,表名,列名,访问权限等信息) 寻找SQL注入点(操纵用户数据输入并分析服务器的响应来寻找SQL注入漏洞!)
注意:借助推理进行测试,最好发送一些意外请求,来触发服务器异常:
举例: 确定name=tony,是select,insert,update,delete中的哪一种? 构造:('或变化不同的参数,通过不同的响应结果来判断!) 根据不用的响应异常,可以大概率推断是select,并存在注入点,这时可以拼接SQL语句来进行攻击!
用户请求,触发数据库错误时,开发人员会根据应用编码方式的不同,作如下处理:
寻找SQL注入漏洞的过程包括识别用户数据输入、操纵发送给应用的数据以及识别服务器返回结果中的变化,但操纵参数产生的错误可能与SQL注入无关! 如:统一错误处理页面,根本觉察不了什么异样! 所以,要弄清楚该错误到底是不是由SQL注入引发的! 方法: 插入不触发应用错误的SQL代码测试!(反复训练和不断尝试的过程!) or '1' ='1' or '1' ='2' HTTP代码错误 200:成功接收 500:内部服务器错误 302:当发现错误时,重定向到首页或自定义错误页面! (意味着,我们已经以某种方式干预了应用的正常行为!) 不同大小的响应(通过BP很容易捕获到!) 注意:SQL盲注常利用这个错误!
Web应用访问数据库,会把结果呈现给用户! 攻击者修改SQL语句,通过响应来获取数据库中的任意信息! (需要发送多次请求,建议在BP中操作,修改参数,重放请求!) 修改参数需要注意: +:在URI中时保留字,不能直接使用,需要进行URL编码! %2B=+号的URL编码! 确认SQL注入构造一条有效SQL语句来确认SQL注入漏洞! (执行的这条SQL语句,不会引发任何错误!) 区分数字还是字符串 数据库有不同的数据类型,用于不同的表示方式:
如何判断? 数字型:
(具体有没有数字型注入,是否能够通过数字型注入获取有效的信息,还需要大量的测试来验证!) 字符型:
(具体有没有字符型注入,是否能够通过数字型注入获取有效的信息,还需要大量的测试来验证!) SQL注入方式这里以MySQL数据库为例,至于其他数据库如Oracle,SQL Server,Access,PostgreSQL等,到时候再整理吧! MySQL前置知识: MySQL 5.0之后,MySQL默认在数据库中存放一个“information_schema”的数据库,该库中存放着这三张表: 1. SCHEMATA:存储该用户创建的所有数据库的库名,记录库名的字段为SCHEMATA_NAME。 2. TABLES:存储该用户创建的所有数据库的库名和表名,记录库名的字段为TABLE_SCHEMA,记录表名的字段为TABLE_NAME。 3. COLUMNS:存储该用户创建的所有数据库的库名、表名、字段名。记录库名的字段为TABLE_SCHEMA,记录表名的字段为TABLE_NAME,记录字段名的字段为COLUMN_NAME。 常用的函数和属性: version():查询MySQL的版本 database():查询数据库名 user():查询使用MySQL的用户 @@datadir:查询数据库物理路径 @@version:查询MySQL的版本 MySQL的4种注释: 1. # 我是注释 2. -- 我是注释 (--和我是注释之间有空格) 3. /*我是注释*/ 以上注释都可以放在SQL语句的任意位置中!!! 4. /*!code*/ (内联注释) 内联注释可以用于整个SQL语句中,用来执行SQL语句! 例如:userid=1/*! UNION*//*! SELELCT*/1,2,3,4 基本注入
利用union可以同时执行多条SQL语句的特点,在参数中插入恶意的SQL注入语句,同时SQL语句,来获取额外敏感信息等操作!
本文出处: https://www.toutiao.com/i6885158706384732683/
|
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|