|
|
51CTO旗下网站
|
|
移动端

如何全面防御SQL注入攻击

本文由浅入深地向您介绍何为SQL注入攻击,它的危害,运作原理,攻击类型和防御措施。

作者:陈峻编译来源:51CTO|2019-02-22 09:00

【51CTO.com快译】随着技术的进步,Web应用技术在得以快速发展的同时,其自身的漏洞和伴随的风险也在不断迭代与增加着。自2003年以来,SQL注入攻击已持续位列OWASP应用安全风险Top 10之中,并值得各类公司持续予以严防死守。在本文中,我们根据如下的议题,来深入探讨SQL注入攻击的特点,及其防御方法。具体议题如下:

  • 什么是SQL注入攻击?
  • SQL注入有何危害?
  • SQL注入攻击如何运作的?
  • SQL注入攻击有哪些不同类型?
  • 如何防御SQL注入攻击?

您可以访问网络安全视频讲座-- https://youtu.be/gfFKuiZ9Y7s,以观看培训专家对每个技术细节的讨论。

一、什么是SQL注入攻击?

SQL注入(SQL injection,SQLi)攻击是指:攻击者通过执行恶意SQL语句,来控制某个Web应用的数据库服务器,进而未经授权地访问、修改或删除各种数据。

在互联网发展的早期,构建网站曾是一个非常简单的过程:既没有JavaScript,又没有CSS,且少有图像。但是,随着各类网站的普及,人们对于先进技术和动态网站的需求也在不断增长。这就导致了JSP和PHP等服务器端脚本语言的不断发展。

同时,各类网站也开始在数据库中存储丰富的用户输入内容。如今,MySQL已经成为了访问和操作数据库的最流行、且标准化的应用。不过,黑客当然也找到了利用SQL技术漏洞的新方法,SQL注入攻击就是最常用的数据库入侵方式之一。黑客使用定制化的SQL语句来入侵数据库,以欺骗系统执行各种异常的、且不应该的操作。

二、SQL注入攻击有何危害?

在易受攻击的网站上,攻击者可以利用SQL注入实现许多操作与目的。可以说,只要客观条件满足,攻击者就能够执行如下各项操作:

  • 绕过Web应用的授权机制,以提取敏感信息。
  • 基于数据库中不同数据,轻松地控制应用程序的各种行为。
  • 伴随着用户访问应用的过程,注入更多需要执行的恶意代码。
  • 添加、修改和删除数据,破坏数据库,以及迫使应用的服务不可用。
  • 在某个网站上,通过枚举以获取已注册用户的详细身份信息,并将其用于攻击其他站点。

虽然上述一切都取决于攻击者的技巧与能力,但不可否认的是,有时候SQL注入在整个攻击过程中,对他们能够成功并完全地接管数据库和Web应用起到了关键性的作用。下面我们来深入了解此类攻击是如何实现的。

如何全面防御SQL注入攻击

三、SQL注入攻击如何运作的?

开发人员通过定义某种SQL查询,在对应的应用程序运行过程中,让数据库执行一系列操作。此类查询通常带有一到两个参数,以便根据用户所提供的合适参数值,返回预期的查询记录。

不过,SQL注入攻击会在如下两个阶段发生:

  • 研究 - 攻击者提供一些随机的异常参数值,以观察应用程序将如何做出响应,进而决定进行何种攻击尝试。
  • 攻击 - 在此,攻击者会提供精心设计的参数值。应用程序将解析整条SQL命令,而不仅仅是数据。然后,数据库会按照攻击者所修改意图,来执行该SQL命令。

让我们来观察一下如下示例。在登录表单的过程中,网站用户可以更改下面语句中的$user和$password参数值:

  1. $statement = "SELECT * FROM users WHERE username ='$user' AND password '$password'";  

在服务器端,这一特定的SQL语句会被传递给相应的函数,而那个函数又将该字符串发送给已连接的数据库。接着,该数据库对其进行解析、执行并返回相应的结果。

  1. #Define POST variables 
  2. uname = request.POST['username'] 
  3. passwd = request.POST['password'] 
  4. #SQL query vulnerable to SQLi 
  5. sql = "SELECT id FROM users WHERE username='" + uname + "' AND password='" + passwd + "'
  6. #Execute the SQL statement  
  7. database.execute(sql) 

那么,如果用户的输入没有得到应用程序的适当“消毒”,攻击者则可以轻松地植入精心设计的参数值。例如下面这条输入语句:

  1. $statement = "SELECT * FROM users WHERE username ='Dean' OR '1'='1'-- ' AND password = 'WinchesterS'";  

深入分析上述语句,我们可以注意到它包含的两个特殊部分:

  • OR'1'='1' - 是一个永远为真的条件,因此它会被应用程序无条件地接受为有效的输入。
  • --(双连字符) - 是告诉SQL解析器:该行的其余部分为注释,不必执行。

因此,一旦该查询被执行之后,SQL注入就能够有效地跳过密码验证,进而导致身份验证环节的缺失。而且,凭借着此类查询的记录,攻击者能够很容易地使用获取到的第一手数据库帐户,即管理员用户的信息,进而成功地登录到对应的应用程序之中。

值得注意的是,上面只是通过SQL的查询,以非正式的方式获取必要的信息。而实际上,SQL注入攻击还有许多种类型。

四、SQL注入攻击有哪些不同类型?

正所谓“条条道路通罗马”。下面我们来看看攻击者可以使用哪些类型的SQL注入漏洞,从服务器上提取数据。一般而言,SQL注入可分为如下种类:

1. 带内(In-Band)SQL注入

此类是最常见的SQL注入攻击。它通常发生在攻击者能够使用相同的通信信道,来发起攻击和收集各种结果。因此,最为常见的带内SQL注入类型分别是:

  • 基于错误的(Error-based)SQL注入 - 这种技术是根据数据库服务器所抛出的错误异常消息,来获取有关数据库结构方面的信息。有时候,这种简单的攻击方式足以让攻击者通过枚举的手段获悉整个数据库。
  • 基于联合的(Union-based)SQL注入 – 这种技术是利用UNION SQL操作符将两到多个SELECT语句的结果合并为一个,然后作为HTTP响应的一部分予以返回。

在上述两种注入类型中,各种数据实际上并未通过Web应用程序进行传输。因此,攻击者也就无法直观地看到攻击的结果。下面,攻击者可以通过发送有效的负载,并观察Web应用的响应,以及数据库服务器的结果行为,来对数据库结构进行重建。因此,我们称如下两种SQL注入为推理类型:

  • 基于布尔的(Boolean-based)SQL注入 – 这种技术根据查询的返回结果是TRUE还是FALSE,来产生不同的结果。也就是说,根据结果的真伪​​,以决定HTTP响应中的内容是要被更改,还是保持不变。
  • 基于时间的(Time-based)SQL注入 - 这种技术是在向数据库发送SQL查询的过程中,强制在数据库响应之前等待指定的时长(以秒为单位)。也就是说,某个网站的响应耗时,将能够向攻击者表明其查询结果是TRUE还是FALSE。

2. 带外(Out-of-Band)SQL注入

此类SQL注入攻击的特点是:不但最不常见,而且通常也是最难以被执行。它们通常涉及到,将各种数据直接从数据库服务器发送到由攻击者所控制的计算机上。从某种程度上说,带外技术为攻击者提供了SQL带内或盲注式攻击的替代方法,其主要针对的是服务器响应并不十分稳定的情况。

可见,服务端脚本(server-scripting)语言并不能够确定SQL查询字符串是否存在着格式错误。他们所能做的只是将某个字符串发送到数据库服务器上,并等待解析的完成与响应。不过话说回来,我们总能找到各种办法来对用户的输入进行“消毒”,并确保SQL注入攻击无法得逞。

五、如何防御SQL注入攻击?

现如今,我们有许多种简单的方法,以避免网站陷入SQL注入攻击,并抑制它们可能造成的危害。下面,我们仅列举其中的一小部分:

  • 通过使用静态和动态测试,定期检查并发现应用程序中的SQL注入漏洞。
  • 通过使用参数化查询和对象关系映射(Object Relational Mappers,ORM),来避免和修复注入漏洞。此类查询通过指定参数的占位符,以便数据库始终将它们视为数据,而非SQL命令的一部分。
  • 使用转义字符,来修复SQL注入漏洞,以便忽略掉一些特殊字符。
  • 通过对数据库强制执行最小权限原则,来减缓SQL注入漏洞的影响。籍此,应用程序的每一个软件组件都只能访问、并仅影响它所需要的资源。
  • 对访问数据库的Web应用程序采用Web应用防火墙(Web Application Firewall,WAF)。这有助于识别出针对SQL注入的各种尝试,进而防止此类尝试作用到应用程序上。

纵然SQL注入攻击是网络犯罪分子非常流行的攻击方法,但是如果我们能够通过采取诸如:数据加密,执行安全测试,以及及时更新补丁等适当的预防措施,就能够在某种程度上实现对数据的安全保护。

我们可以毫不夸张的说:遍布世界各地的黑客无时无刻在通过各种各样的渗透方式,不断地探测着目标Web应用中的潜在漏洞,并伺机采取各种攻击手段。因此,我们要时刻保持高度警惕。

原文标题:SQL Injection Attacks: Know How to Prevent Them,作者:Archana Choudhary

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

【编辑推荐】

  1. 2019年最大的网络威胁:电子商务网络攻击的崛起
  2. 常见六大Web漏洞介绍和防御方案
  3. 美国囤积零日漏洞的标准是什么
  4. 为什么网络攻击成为经济体最大的风险
  5. 70%的公开漏洞出自3家供应商
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

活学活用 Ubuntu Server

活学活用 Ubuntu Server

实战直通车
共35章 | UbuntuServer

216人订阅学习

Java EE速成指南

Java EE速成指南

掌握Java核心
共30章 | 51CTO王波

83人订阅学习

Mysql DBA修炼之路

Mysql DBA修炼之路

MySQL入门到高阶
共24章 | 武凤涛

468人订阅学习

读 书 +更多

开源osCommerce 轻松架设专业电子商务平台

osCommerce是一款免费的、开放源代码的专业电子商务解决方案。本书以通俗易懂的语言向读者展示了该软件强大的功能和简易的操作方法,主要内...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客