SQL注入。有攻有防。知道进攻。才懂得防守.
' c: r- A- Q% P2 Y. h7 t9 v
. d) x2 c) `4 y, m0 i& H- ~, b有的时候,很容易受到SQL注入攻击的程序,可能会进行输入过滤,用来防止攻击者无限制的利用其中存在的设计缺陷。# w+ ~3 ~' t, b. N/ B% ]0 G
7 H/ ] v" j0 B4 s- x% U. z
唱出会删除或者净化一些字符,或者阻止常用的sql关键词。9 t5 B; A8 @5 I5 T9 C+ t
6 h& D" T6 \) r- N
我们通常有以下几种技巧,去避开这些过滤。
$ ?" z* C2 n8 N9 w( Y4 `0 o9 Z. L0 [
1,避免使用被阻止的字符,即不使用这些字符仍然达到攻击目的。
6 O) j1 a0 d2 Q! Y/ L7 Y6 q
3 T0 D- H( R0 B. D2 B9 s8 CA,如果注入一个数字数据字段,就不需要使用单引号。 A; E* Q2 }. J r! M, O
& x6 N& R( U- h4 L$ e' F' \# l- o
B,输入注释符号被阻止使用,我们可以设计注入的数据,既不破坏周围的查询语法。
4 d% e; F' w0 R) v+ F- R
; R8 G) T7 \ @/ }% N$ s! S% O3 {( K比如, ?id=1′ 这里存在注入,过滤了注释符合,我们可以输入 ?id=1′ or ‘a’=’a! i8 f, y' l, c& k( {& V9 W; m% B3 R3 @
/ q H6 b) F! Z* v1 K
目的其实很简单,就是把后面的单引号给闭合掉。7 o3 P5 ^! U {0 n6 L
- r9 d; [% A) `$ ]" z0 e# Q
C,在一个MSSQL注入中注入批量查询的时候,不必使用分号分隔符。3 j8 l2 [9 ~: v: Z( l& p$ G8 F
8 n- W( }- r0 b4 F
只要纠正所有批量查询的语法,无论你是否使用分号,查询的解析器依然能正确的去解释它们的。
: o' J7 B/ y) O: z# D, }; }7 R
: w& i* u$ S9 B1 G- i& ^( n2,避免使用简单确认
4 U3 t4 ~+ F7 P
2 v7 m$ Q" y% V) c一些输入确认机制使用一个简单的黑名单,组织或删除任何出现在这个名单中的数据,比如防注入程序。* F) a2 j# L8 R; c8 ^0 \; b
9 J! Y7 z' S f/ u+ ]% L这一般要看这个机制是否做的足够的好了,黑名单是否足够能确保安全。如果只是简单的黑名单,那也有机会突破的。9 m; r% k2 m$ D- F! ?' F0 `
( ^; \: G5 l' n- j0 J/ TA,如果select关键词被阻止或删除
+ z. {! M" E, K5 `& ^6 {+ B& i" K$ F/ D& ` G5 D
我们可以输入:7 x2 D P) `: R7 ]% ~8 ?7 `3 O
; Q2 R$ l5 [: O8 W, x
SeLeCt 注意大小写6 `, q& y9 B8 R/ {9 Y w
6 V+ L1 \( _, Q x$ a* k
selselectect 还记得ewebeditor是怎么过滤asp的么?" Z1 U" z9 x$ P9 n* P) p. E% V
2 n) V. v2 c& y/ p6 w0 t! p%53%45%4c%45%43%54 URL编码7 e; h1 s4 L: p- k6 m) S
" O2 M) U# Z4 j' u; S%2553%2545%254c%2545%2543%2554 对上面的每个%后加了一个257 R3 W1 k# Z `8 r1 q
0 g/ l& E F, ]8 _. A
3,使用SQL注释符# l; _9 R. _% `1 r
, Y' v5 u! u2 o5 D k" V/ uA,使用注释来冒充注入的数据中的空格。
* ]7 z6 O: ~& n; n5 t9 ~; G3 g Z3 y* l% m
select/*yesu*/username,password/*yesu*/from/*yesu*/admin: [' {( f5 C! |: i
3 N% ~9 m# U% [. {4 g/*yesu*/来冒充空格. ]$ m! W; X" d( n, @
; p- k; l: x$ e# K, T
B,使用注释来避开某些注入的确认过滤。$ |- w8 r& b. u- c% ~
: d5 P) P/ t) y9 M3 QSEL/*yesu*/ECT username,password fr/*yesu*/om admin% E3 f" m9 _; ~% H' h
0 s% H! u9 Y% U2 n6 L; e1 s# i4,处理被阻止的字符串2 H% f" ?. S; ]6 }1 B
1 J3 [6 K. [2 _/ o8 G# S8 g
比如,程序阻止了admin,因为怕攻击者注入admin表单中的数据。+ @& W! \! a* [: t4 P
" o' E; S. a, j0 G/ b1 j, i
我们可以这样
: k. f& Z! t& @2 j5 O7 J$ p" r6 y& \7 ]& E
A,oracle数据库: ‘adm’||’in’
( n0 B5 {" ~5 c2 Q+ y
( e8 O" t; L# Q4 c1 s( XB,MSSQL数据库: ‘adm’+’in’
* `2 G. E# L) j7 J
! s# d& D" W$ JC,MYSQL数据库: concat (‘adm’,’in’)- X6 s/ D, f4 W9 m( e: u) H
; F0 v# e; K% _, {: b9 i9 qD,oracle中如果单引号被阻止了,还可以用chr函数
4 E( U1 N# V1 a. [2 I3 c; \$ O% N$ [8 H- j
sleect password from admin where username = char(97) || chr(100) || chr(109) || chr(105) || chr(110)
- _' L9 S: u4 [$ S$ X# F6 O; s: @0 \4 h4 w0 ^
还有其他方法。正在收集中.
4 V: E+ J# G) ~& t5 }2 c6 p
) _ L# a* Z! d4 W |
发表于 2013-1-13 09:50:58
收藏
支持
反对