SQL注入。有攻有防。知道进攻。才懂得防守." w+ z- Y- T! ]4 {7 ^
0 s1 i2 ?; \# Z9 J1 p% e$ w有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。" S q4 T2 |$ L8 B9 V2 r- X
I) g9 H4 S, z+ x& N4 ?
唱出会删除或者净化一些字符,或者阻止常用的sql关键词。
# M2 g/ r; R: n# j D- F) P
! R" L# b3 H) ?' f我们通常有以下几种技巧,去避开这些过滤。9 q; ]( J' g- [, @
+ j. D7 t: V, o( a& R% L+ k
1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。) G! S. K+ q. k
) C' Q% R' @9 J+ M0 m* |$ f% f& lA,如果注入一个数字数据字段,就不需要使用单引号。5 ^. h( f: {2 G4 J/ R5 J, A
) S- {% x9 M* e1 V
B,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。
' L4 L+ T' z9 `3 f1 p2 L9 X+ P
9 N1 F b1 Y3 b P B* v比如, ?id=1′ 这里存在注入,过滤了注释符合,我们可以输入 ?id=1′ or ‘a’=’a
- B; U& ?; }' b O
5 e' T ]2 G% P0 l目的其实很简单,就是把后面的单引号给闭合掉。$ J- ]( l$ ^- _
/ d- K! c9 E, X) x6 B' uC,在一个MSSQL注入中注入批量查询的时候,不必使用分号分隔符。6 t6 q% E7 g6 ?( x! p, X' z
0 G5 _! h) s; ^) t d6 L
只要纠正所有批量查询的语法,无论你是否使用分号,查询的解析器依然能正确的去解释它们的。- |! k* A- T$ ~: I8 F* s% F
7 H+ X5 E* X* g7 d
2,避免使用简单确认: ~ B* P9 S5 B* b8 s
: q3 M/ c( K+ D& ^* R: }一些输入确认机制使用一个简单的黑名单,组织或删除任何出现在这个名单中的数据,比如防注入程序。
4 z% q+ k0 a ]8 v# O+ g* r
6 u' i7 X p# j& v这一般要看这个机制是否做的足够的好了,黑名单是否足够能确保安全。如果只是简单的黑名单,那也有机会突破的。" N$ W0 f2 n/ h
& z- y4 Q. G, Y* F/ v9 x# o
A,如果select关键词被阻止或删除/ Y4 }; A3 w2 x+ L$ z9 W% V
- ]4 u/ J( d+ K' \, g% y% w
我们可以输入:
* P& Q2 h1 `/ P& Q/ j/ X5 z) V( N G) r1 C1 _7 v
SeLeCt 注意大小写( }4 U7 \# _. [0 b+ n O& Q5 l' b" N
/ d5 t; G; e8 n- Y6 ?selselectect 还记得ewebeditor是怎么过滤asp的么?
q$ e0 Q5 |8 Y- g& o! I7 y* X$ M* i, ` S. Y
%53%45%4c%45%43%54 URL编码: v" o( c2 d# h% q8 D/ V y" o& V# x
& d- Z9 y$ @7 z. z' B+ y
%2553%2545%254c%2545%2543%2554 对上面的每个%后加了一个25
( j* ]2 |" v" A( n3 Z: O
( _) Z: I" Q* G/ m6 p% [3,使用SQL注释符9 ^5 @2 k0 m3 D1 N
n# M0 k0 a2 EA,使用注释来冒充注入的数据中的空格。# A5 f. @+ n1 v, h
1 g+ v0 Y+ v# `( e& ]6 } |select/*yesu*/username,password/*yesu*/from/*yesu*/admin
' n$ P0 `# Y& t4 a( ]$ {- c8 T n, e$ t3 T. @
/*yesu*/来冒充空格
$ x- e3 {3 u) M, E: J; F$ Z+ T- F: r& |8 E: M+ G8 s
B,使用注释来避开某些注入的确认过滤。5 s# Y8 c$ o% X) N/ w
+ W A0 b7 r! ?3 g: ^1 m
SEL/*yesu*/ECT username,password fr/*yesu*/om admin$ ]" o8 d6 C& v K2 C2 u- r# G
6 D9 }3 t9 ~2 U3 Q# C2 Z% X! Q4,处理被阻止的字符串* {& z5 x/ d1 ~% @* q
3 B4 t) M% k- Y- s" J3 ^4 {比如,程序阻止了admin,因为怕攻击者注入admin表单中的数据。
! x* B \ p" W1 q$ n5 f& K' i+ u2 r# l' i1 q! s- b1 X5 u
我们可以这样
) Z& Y- {/ y' l* d/ w1 x/ l" n; f- R" G- a+ E6 X
A,oracle数据库: ‘adm’||’in’
* v3 X6 [ {9 Q9 G2 L# c& b2 j& v2 `, I2 p
B,MSSQL数据库: ‘adm’+’in’
% f* G9 f) M: H y3 x* W0 M9 U% g k. U$ L8 o4 L
C,MYSQL数据库: concat (‘adm’,’in’)- T& [# R: A- d" d- i) @
4 \3 j- h1 c, H( l* L0 ZD,oracle中如果单引号被阻止了,还可以用chr函数5 D3 l( j( `) F, T) @
6 l! O2 @% K' _. K; ]
sleect password from admin where username = char(97) || chr(100) || chr(109) || chr(105) || chr(110)
- e) y$ D# }# i$ s$ D n& k
4 A" J6 y- W3 |* I还有其他方法。正在收集中. z/ p4 Y4 b% S4 k
$ d0 p1 d4 g Z& m# w: L8 @ |
发表于 2013-1-13 09:50:58
收藏
支持
反对