网站渗透攻防Web篇之SQL注入攻击高级篇
前言
前面我们学习了如何寻找,确认,利用SQL注入漏洞的技术,本篇文章我将介绍一些更高级的技术,避开过滤,绕开防御。有攻必有防,当然还要来探讨一下SQL注入防御技巧。
第五节 避开过滤方法总结
Web应用为了防御包括SQL注入在内的攻击,常常使用输入过滤器,这些过滤器可以在应用的代码中,也可以通过外部实现,比如Web应用防火墙和入侵防御系统。避开过滤的方法是灵活的,本节我总结了一些常用的技巧。在我们不知道过滤规则的时候可以尝试一下。
5.1、大小写变种
这种技巧适用于关键字阻塞过滤器不聪明的时候,我们可以变换关键字字符串中字符的大小写来避开过滤,因为使用不区分大小写的方式处理SQL关键字。 例如:(下面的代码就是一个简单的关键字阻塞过滤器)
function waf($id1){
if(strstr($id1,'union')){
echo 'error:lllegal input';
return;
}
return $id1;
}
这段代码的缺陷就在strstr()函数是对大小写敏感的,所以我们可以通过大小写变种来绕过。
5.2、URL编码
URL编码用途广泛,可以通过它绕过多种类型的输入过滤器。
function waf($id1){
if(strstr(id1,' ') || strstr(id1,'/**/')){
echo 'error:lllegal input';
return;
}
return $id1;
}
双URL编码有时候会起作用,如果Web应用多次解码,在最后一次解码之前应用其输入过滤器。
因为双URL编码,第一次解码%2f%2a进入输入过滤器,所以成功绕过了。当然这个使用前提是后面有一个URL解码。
5.3、SQL注释
很多开发人员认为,将输入限制为单个就可以限制SQL注入攻击,所以他们往往就只是阻止各种空白符。
function waf($id1){
if(strstr($id1,' ')){
echo 'error:lllegal input';
return;
}
return $id1;
}
但是内联注释不使用空格就可以构造任意复杂的SQL语句。
5.4、空字节
通常的输入过滤器都是在应用程序之外的代码实现的。比如入侵检测系统(IDS),这些系统一般是由原生编程语言开发而成,比如C++,为什么空字节能起作用呢,就是因为在原生变成语言中,根据字符串起始位置到第一个出现空字节的位置来确定字符串长度。所以说空字节就有效的终止了字符串。
只需要在过滤器阻止的字符串前面提供一个采用URL编码的空字节即可,例如:
- %00' union select username,password from users where username='admin' --
5.5、二阶SQL注入
实际上到目前为止,你在网上大部分搜索SQL注入文章 基本都可以归类到”一阶(first-order)”SQL注入中,因为这些例子涉及的事件均发生在单个HTTP请求和响应中,如下所示:
- 攻击者在HTTP请求中提交某种经过构思的输入。
- 应用处理输入,导致攻击者注入的SQL查询被执行。
- 如果可行的话,会在应用对请求的响应中向攻击者返回查询结果。
- 另一种不同的SQL注入攻击是”二阶(second-order)”SQL注入,这种攻击的事件时序通常如下所示:
- 攻击者在HTTP请求中提交某种经过构思的输入。
- 应用存储该输入(通常保存在数据库中)以便后面使用并响应请求。
- 攻击者提交第二个(不同的)请求。
- 为处理第二个请求,应用会检索已经存储的输入并处理它,从而导致攻击者注入的SQL查询被执行。
- 如果可行的话,会在应用对第二个请求的响应中向攻击者返回查询结果。
从字面上来看二阶SQL注入对于新手很难理解,所以我来介绍一个经典的例子帮助大家理解。
这是一个个人信息应用程序,我们可以更新我们的用户名,也可以查看我们的个人信息。
第二步查看我们个人信息时的SQL语句:
select * from users where username = '$name'
查询的语句所用到的变量name就是从数据库提取到的我们的用户名,所以我们可以先利用更新我们的用户名功能插入语句进数据库。
这样查看我们个人信息的时候就成功执行了我们的SQL注入攻击。
例如:我们在用户名插入
zusheng' or '1'='1
那么后面我们就执行了语句
select * from users where username = 'zusheng' or '1'='1'
第六节 探讨SQL注入防御技巧
6.1、输入验证
- 输入验证是指要验证所有应用程序接收到的输入是否合法。
- 有两中不同类型的输入验证方法:白名单和黑名单验证
- 白名单验证:比如id值,那么我们判断它是否为数字。
- 黑名单验证:使用正则表达式禁止使用某些字符和字符串
- 应该尽量使用白名单,对于无法使用白名单的,使用黑名单提供局部限制。
6.2、编码输出
我们除了要验证应用程序收到的输入以外,还要对数据进行编码 这样不仅可以防御SQL注入攻击,还能防止出现其他问题,比如XSS。
- XGoServer 一个基础性、模块完整且安全可靠的服务端框架
- Bing 每日一图 & 随机图片 API
- 可视化数据库MapD安装——GPU模式
- 12步轻松搞定Python装饰器
- 使用shell脚本检测数据库连接访问情况(r10笔记第98天)
- 贝叶斯分类器及Python实现
- Docker 简介与安装
- 三种决策树算法(ID3, CART, C4.5)及Python实现
- Logistic 回归算法及Python实现
- MySQL主从不一致的修复过程(r10笔记第96天)
- ML中相似性度量和距离的计算&Python实现
- Oracle中的ROWID实现(r10笔记第95天)
- 100个Numpy练习【3】
- 100个Numpy练习【4】
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 终极解密输入网址按回车到底发生了什么
- Kafka核心原理的秘密,藏在这 17 张图中
- 国庆肝了8天整整2W字的数据库知识点
- MySQL事务与MVCC如何实现的隔离级别
- 1.5w字,30图带你彻底掌握 AQS!
- 原创 | codeforces 1419D2,有趣的思维题
- 如何实现四元数的运算
- 最牛一篇布隆过滤器详解
- 编写一个IDEA插件之:开发环境准备那些坑
- 编写一个IDEA插件之:使用PSI分析Java代码
- 编写一个IDEA插件之:自动生成Java代码
- 编写一个IDEA插件之:事件监听
- 重新加载故障节点上的 Ceph 卷
- 一个Spring Bean从诞生到逝去的九次人生转折!
- 原创 | 详解git rebase,让你走上git大神之路