當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

SQL攻擊:防御和檢查SQL注入的手段

http://www.yibo1263.com　2010-7-14 7:19:31 　來源:東北IT網(wǎng) 　編輯:葉子

4.盲目SQL注入式攻擊

當(dāng)一個(gè)Web應(yīng)用程序易于遭受攻擊而其結(jié)果對攻擊者卻不見時(shí)，就會(huì)發(fā)生所謂的盲目SQL注入式攻擊。有漏洞的網(wǎng)頁可能并不會(huì)顯示數(shù)據(jù)，而是根據(jù)注入到合法語句中的邏輯語句的結(jié)果顯示不同的內(nèi)容。這種攻擊相當(dāng)耗時(shí)，因?yàn)楸仨殲槊恳粋€(gè)獲得的字節(jié)而精心構(gòu)造一個(gè)新的語句。但是一旦漏洞的位置和目標(biāo)信息的位置被確立以后，一種稱為Absinthe的工具就可以使這種攻擊自動(dòng)化。

5.條件響應(yīng)

注意，有一種SQL注入迫使數(shù)據(jù)庫在一個(gè)普通的應(yīng)用程序屏幕上計(jì)算一個(gè)邏輯語句的值：

SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd' AND 1=1

這會(huì)導(dǎo)致一個(gè)標(biāo)準(zhǔn)的面面，而語句

SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd' AND 1=2在頁面易于受到SQL注入式攻擊時(shí)，它有可能給出一個(gè)不同的結(jié)果。如此這般的一次注入將會(huì)證明盲目的SQL注入是可能的，它會(huì)使攻擊者根據(jù)另外一個(gè)表中的某字段內(nèi)容設(shè)計(jì)可以評判真?zhèn)蔚恼Z句。

6.條件性差錯(cuò)

如果WHERE語句為真，這種類型的盲目SQL注入會(huì)迫使數(shù)據(jù)庫評判一個(gè)引起錯(cuò)誤的語句，從而導(dǎo)致一個(gè)SQL錯(cuò)誤。例如：

SELECT 1/0 FROM users WHERE username='Ralph'。顯然，如果用戶Ralph存在的話，被零除將導(dǎo)致錯(cuò)誤。

7.時(shí)間延誤

時(shí)間延誤是一種盲目的SQL注入，根據(jù)所注入的邏輯，它可以導(dǎo)致SQL引擎執(zhí)行一個(gè)長隊(duì)列或者是一個(gè)時(shí)間延誤語句。攻擊者可以衡量頁面加載的時(shí)間，從而決定所注入的語句是否為真。

以上僅是對SQL攻擊的粗略分類。但從技術(shù)上講，如今的SQL注入攻擊者們在如何找出有漏洞的網(wǎng)站方面更加聰明，也更加全面了。出現(xiàn)了一些新型的SQL攻擊手段。黑客們可以使用各種工具來加速漏洞的利用過程。我們不妨看看the Asprox Trojan這種木馬，它主要通過一個(gè)發(fā)布郵件的僵尸網(wǎng)絡(luò)來傳播，其整個(gè)工作過程可以這樣描述：首先，通過受到控制的主機(jī)發(fā)送的垃圾郵件將此木馬安裝到電腦上，然后，受到此木馬感染的電腦會(huì)下載一段二進(jìn)制代碼，在其啟動(dòng)時(shí)，它會(huì)使用搜索引擎搜索用微軟的ASP技術(shù)建立表單的、有漏洞的網(wǎng)站。搜索的結(jié)果就成為SQL注入攻擊的靶子清單。接著，這個(gè)木馬會(huì)向這些站點(diǎn)發(fā)動(dòng)SQL注入式攻擊，使有些網(wǎng)站受到控制、破壞。訪問這些受到控制和破壞的網(wǎng)站的用戶將會(huì)受到欺騙，從另外一個(gè)站點(diǎn)下載一段惡意的JavaScript代碼。最后，這段代碼將用戶指引到第三個(gè)站點(diǎn)，這里有更多的惡意軟件，如竊取口令的木馬。

以前，我們經(jīng)常警告或建議Web應(yīng)用程序的程序員們對其代碼進(jìn)行測試并打補(bǔ)丁，雖然SQL注入漏洞被發(fā)現(xiàn)和利用的機(jī)率并不太高。但近來攻擊者們越來越多地發(fā)現(xiàn)并惡意地利用這些漏洞。因此，在部署其軟件之前，開發(fā)人員應(yīng)當(dāng)更加主動(dòng)地測試其代碼，并在新的漏洞出現(xiàn)后立即對代碼打補(bǔ)丁。

防御和檢查SQL注入的手段

1.使用參數(shù)化的過濾性語句

要防御SQL注入，用戶的輸入就絕對不能直接被嵌入到SQL語句中。恰恰相反，用戶的輸入必須進(jìn)行過濾，或者使用參數(shù)化的語句。參數(shù)化的語句使用參數(shù)而不是將用戶輸入嵌入到語句中。在多數(shù)情況中，SQL語句就得以修正。然后，用戶輸入就被限于一個(gè)參數(shù)。下面是一個(gè)使用Java和JDBC API例子：

PreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE

PASSWORD=?");

prep.setString(1, pwd);

總體上講，有兩種方法可以保證應(yīng)用程序不易受到SQL注入的攻擊，一是使用代碼復(fù)查，二是強(qiáng)迫使用參數(shù)化語句的。強(qiáng)迫使用參數(shù)化的語句意味著嵌入用戶輸入的SQL語句在運(yùn)行時(shí)將被拒絕。不過，目前支持這種特性的并不多。如H2 數(shù)據(jù)庫引擎就支持。

2.還要避免使用解釋程序，因?yàn)檫@正是黑客們借以執(zhí)行非法命令的手段。

3.防范SQL注入，還要避免出現(xiàn)一些詳細(xì)的錯(cuò)誤消息，因?yàn)楹诳蛡兛梢岳眠@些消息。要使用一種標(biāo)準(zhǔn)的輸入確認(rèn)機(jī)制來驗(yàn)證所有的輸入數(shù)據(jù)的長度、類型、語句、企業(yè)規(guī)則等。

4.使用專業(yè)的漏洞掃描工具。但防御SQL注入攻擊也是不夠的。攻擊者們目前正在自動(dòng)搜索攻擊目標(biāo)并實(shí)施攻擊。其技術(shù)甚至可以輕易地被應(yīng)用于其它的Web架構(gòu)中的漏洞。企業(yè)應(yīng)當(dāng)投資于一些專業(yè)的漏洞掃描工具，如大名鼎鼎的Acunetix的Web漏洞掃描程序等。一個(gè)完善的漏洞掃描程序不同于網(wǎng)絡(luò)掃描程序，它專門查找網(wǎng)站上的SQL注入式漏洞。最新的漏洞掃描程序可以查找最新發(fā)現(xiàn)的漏洞。

5.最后一點(diǎn)，企業(yè)要在Web應(yīng)用程序開發(fā)過程的所有階段實(shí)施代碼的安全檢查。首先，要在部署Web應(yīng)用之前實(shí)施安全測試，這種措施的意義比以前更大、更深遠(yuǎn)。企業(yè)還應(yīng)當(dāng)在部署之后用漏洞掃描工具和站點(diǎn)監(jiān)視工具對網(wǎng)站進(jìn)行測試。

Web安全拉警報(bào)已經(jīng)響起，安全形式異常嚴(yán)峻，企業(yè)絕對不應(yīng)當(dāng)草率從事。安全重于泰山

本新聞共2頁,當(dāng)前在第2頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·分區(qū)和負(fù)載均衡讓MySQL更大更好

·如何徹底刪除MYSQL？

·使用SQL更改SQL 2005 sa用戶密碼的方法

·講解MySQL的數(shù)據(jù)類型和建庫策略

·關(guān)于從MySQL轉(zhuǎn)向ADODB的方法

·使用sql語句分離和附加數(shù)據(jù)庫的方法

·解析SQL注入十大方式保護(hù)數(shù)據(jù)安全

·MySQL創(chuàng)始人聯(lián)合14000人反對甲骨文收購Sun

·MySQL創(chuàng)始人呼吁用戶反對甲骨文收購Sun

·淺析MySQL數(shù)據(jù)庫授權(quán)原則

·分區(qū)和負(fù)載均衡讓MySQL更大更好

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费