SQL注入的概念是什么?
SQL注入式攻擊,就是攻擊者把SQL命令插入到Web表單的輸入域或頁(yè)面請(qǐng)求的查詢字符串,欺騙服務(wù)器執(zhí)行惡意的SQL命令。在某些表單中,用戶輸入的內(nèi)容直接用來(lái)構(gòu)造(或者影響)動(dòng)態(tài)SQL命令,或作為存儲(chǔ)過(guò)程的輸入?yún)?shù),這類(lèi)表單特別容易受到SQL注入式攻擊
在開(kāi)發(fā)網(wǎng)站的時(shí)候,出于安全考慮,需要過(guò)濾從頁(yè)面?zhèn)鬟f過(guò)來(lái)的字符。通常,用戶可以通過(guò)以下接口調(diào)用數(shù)據(jù)庫(kù)的內(nèi)容:URL地址欄、登陸界面、留言板、搜索框等。這往往給駭客留下了可乘之機(jī)。輕則數(shù)據(jù)遭到泄露,重則服務(wù)器被拿下。
SQL注入步驟 和 常見(jiàn)形式
a)尋找注入點(diǎn),構(gòu)造特殊的語(yǔ)句
傳入SQL語(yǔ)句可控參數(shù)分為兩類(lèi)
1. 數(shù)字類(lèi)型,參數(shù)不用被引號(hào)括起來(lái),如?id=1
2. 其他類(lèi)型,參數(shù)要被引號(hào)擴(kuò)起來(lái),如?name=”phone”
b)用戶構(gòu)造SQL語(yǔ)句(如:’or 1=1#;admin’#(這個(gè)注入又稱(chēng)PHP的萬(wàn)能密碼,是已知用戶名的情況下,可繞過(guò)輸入密碼)以后再做解釋)
c)將SQL語(yǔ)句發(fā)送給DBMS數(shù)據(jù)庫(kù)
d)DBMS收到返回的結(jié)果,并將該請(qǐng)求解釋成機(jī)器代碼指令,執(zhí)行必要得到操作
e)DBMS接受返回結(jié)果,處理后,返回給用戶
因?yàn)橛脩魳?gòu)造了特殊的SQL語(yǔ)句,必定返回特殊的結(jié)果(只要你的SQL語(yǔ)句夠靈活)
下面,我通過(guò)一個(gè)實(shí)例具體來(lái)演示下SQL注入
SQL注入實(shí)例詳解(以上測(cè)試均假設(shè)服務(wù)器未開(kāi)啟magic_quote_gpc)
1) 前期準(zhǔn)備工作
先來(lái)演示通過(guò)SQL注入漏洞,登入后臺(tái)管理員界面
首先,創(chuàng)建一張?jiān)囼?yàn)用的數(shù)據(jù)表:
|
1 2 3 4 5 6 |
|
添加一條記錄用于測(cè)試:
|
1 |
|
接下來(lái),貼上登入界面的源代碼
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 |
|
附上效果圖:
當(dāng)用戶點(diǎn)擊提交按鈕的時(shí)候,將會(huì)把表單數(shù)據(jù)提交給validate.php頁(yè)面,validate.php頁(yè)面用來(lái)判斷用戶輸入的用戶名和密碼有沒(méi)有都符合要求(這一步至關(guān)重要,也往往是SQL漏洞所在)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
|
注意到了沒(méi)有,我們直接將用戶提交過(guò)來(lái)的數(shù)據(jù)(用戶名和密碼)直接拿去執(zhí)行,并沒(méi)有實(shí)現(xiàn)進(jìn)行特殊字符過(guò)濾,待會(huì)你們將明白,這是致命的。
代碼分析:如果,用戶名和密碼都匹配成功的話,將跳轉(zhuǎn)到管理員操作界面(manager.php),不成功,則給出友好提示信息。
登錄成功的界面:
登錄失敗的提示:
到這里,前期工作已經(jīng)做好了,接下來(lái)將展開(kāi)我們的重頭戲:SQL注入
2) 構(gòu)造SQL語(yǔ)句
填好正確的用戶名(marcofly)和密碼(test)后,點(diǎn)擊提交,將會(huì)返回給我們“歡迎管理員”的界面。
因?yàn)楦鶕?jù)我們提交的用戶名和密碼被合成到SQL查詢語(yǔ)句當(dāng)中之后是這樣的:
|
1 |
|
很明顯,用戶名和密碼都和我們之前給出的一樣,肯定能夠成功登陸。但是,如果我們輸入一個(gè)錯(cuò)誤的用戶名或密碼呢?很明顯,肯定登入不了吧。恩,正常情況下是如此,但是對(duì)于有SQL注入漏洞的網(wǎng)站來(lái)說(shuō),只要構(gòu)造個(gè)特殊的“字符串”,照樣能夠成功登錄。
比如:在用戶名輸入框中輸入:’ or 1=1#,密碼隨便輸入,這時(shí)候的合成后的SQL查詢語(yǔ)句為:
|
1 |
|
語(yǔ)義分析:“#”在mysql中是注釋符,這樣井號(hào)后面的內(nèi)容將被mysql視為注釋內(nèi)容,這樣就不會(huì)去執(zhí)行了,換句話說(shuō),以下的兩句sql語(yǔ)句等價(jià):
|
1 |
|
等價(jià)于
|
1 |
|
因?yàn)?=1永遠(yuǎn)是都是成立的,即where子句總是為真,將該sql進(jìn)一步簡(jiǎn)化之后,等價(jià)于如下select語(yǔ)句:
|
1 |
|
沒(méi)錯(cuò),該sql語(yǔ)句的作用是檢索users表中的所有字段
上面是一種輸入方法,這里再介紹一種注入的方法,這個(gè)方法又稱(chēng)PHP的萬(wàn)能密碼
我們?cè)僖阎脩裘臈l件下,可以不能密碼即可登入,假設(shè)用戶名:admin
構(gòu)造語(yǔ)句:
|
1 |
|
等價(jià)于
|
1 |
|
這樣即可不能輸入密碼登入上去的。
數(shù)據(jù)庫(kù)就會(huì)錯(cuò)認(rèn)為不用用戶名既可以登入,繞過(guò)后臺(tái)的驗(yàn)證,已到達(dá)注入的目的。
同樣利用了SQL語(yǔ)法的漏洞。
看到了吧,一個(gè)經(jīng)構(gòu)造后的sql語(yǔ)句竟有如此可怕的破壞力,相信你看到這后,開(kāi)始對(duì)sql注入有了一個(gè)理性的認(rèn)識(shí)了吧~
沒(méi)錯(cuò),SQL注入就是這么容易。但是,要根據(jù)實(shí)際情況構(gòu)造靈活的sql語(yǔ)句卻不是那么容易的。有了基礎(chǔ)之后,自己再去慢慢摸索吧。
有沒(méi)有想過(guò),如果經(jīng)由后臺(tái)登錄窗口提交的數(shù)據(jù)都被管理員過(guò)濾掉特殊字符之后呢?這樣的話,我們的萬(wàn)能用戶名’ or 1=1#就無(wú)法使用了。但這并不是說(shuō)我們就毫無(wú)對(duì)策,要知道用戶和數(shù)據(jù)庫(kù)打交道的途徑不止這一條。
本文來(lái)自網(wǎng)絡(luò) 由藍(lán)暢整理,經(jīng)授權(quán)后發(fā)布,本文觀點(diǎn)不代表Infocode藍(lán)暢信息技術(shù)立場(chǎng),轉(zhuǎn)載請(qǐng)聯(lián)系原作者。
