SQLInjection(资料隐码)简介.ppt

SQLInjection(資料隱碼)簡介,大綱,前言什麼是SQLInjection影響的系統SQLInjection原理SQLInjection攻擊SQL帳號設定如何防範SQLInjection,前言,在1997年以前國外電腦通信雜誌曾經披露此一弱點。刑事警察局與新波科技公司合作，4月23日公佈有關SQLInjection的調查，由於國內九成以上網站皆使用SQL資料庫系統，因此，經警方測試，研判國內八成以上的網站已面臨資料隱碼攻擊方式的嚴重威脅。,什麼是SQLInjection,SQLInjection應稱為SQL指令植入式攻擊，主要是屬於InputValidation的問題。目前被翻譯成資料隱碼攻擊。SQLInjection攻擊法並非植入電腦病毒，它是描述一個利用寫入特殊SQL程式碼攻擊應用程式的動作。換言之，只要提供給使用者輸入的介面，又沒有做到相當嚴密的輸入資料型態管制，就有可能會遭受這種行為的攻擊。,SQLInjection,SQLInjection的起因通常是因為程式利用字串建造方式執行。利用正常查詢網站資料時，將攻擊資料庫的指令夾藏於網站查詢命令中。攻擊者可穿透防火牆，繞過身分認證機制，取得資料庫使用權限，進而竊取資料或竄改、破壞資料庫。,影響的系統,Apache、IIS、Domino、Netscape的網站系統，透過ASP、PHP與JSP等程式碼，攻擊破壞各種SQL資料庫。影響的系統包括MSSQL、MySQL、Oracle、Sybase與DB2等。,SQLInjection,攻擊成立的前提輸入欄位沒有針對特殊符號進行過濾查詢欄位沒有限制長度及內容資料庫的權限過高攻擊者猜測到資料欄位的部分資訊ASP源碼洩漏的漏洞,ASP程式碼中可能內含資料庫之帳號密碼,注意！,以下關於SQLInjection說明僅為教學講解之用，提供伺服器管理人員針對自身系統進行檢查之參考，若在未事先備份的情況下，造成資料庫系統損害，後果請自行負責未經其它網站管理人員同意前，嚴禁惡意測試他人網站系統之安全性，否則造成任何法律糾紛皆自行負責,SQLInjection原理,一般輸入帳號密碼的網站的SQL語法select*frommemberwhereUID=SHUTDOWN-停止SQL伺服器;DROPDatabase-刪除資料庫;DROPTable-刪除資料表;DELETEFROM-刪除資料表;TruncateTable-清空資料表,SQL帳號設定,sa權限sa權限就是可以管理所有資料庫權限，因此攻擊者就有可能讀取，寫入，甚至可以刪除所有SQL資料庫伺服器裡的資料。造成影響攻擊者可以得到SQLServer以及作業系統完整的控制。攻擊者透過xp_cmdshell的延伸預存程序(extendedstoredprocedure)能夠對SQLServer資料庫上的所有資料進行任意的存取動作，甚至可以在SQLServer尚值入後門。,SQL帳號設定(cont.),db_owner權限如果被攻擊的應用程式擁有db_owner權限，攻擊者有可能讀取或寫入在被攻陷的資料庫裡的所有資料，攻擊者也有可能移除表格，建立新物件，並掌控被攻陷的資料庫。造成影響攻擊者能夠對資料庫上的所有資料進行讀寫動作。能夠刪除Table、建立新Table、進而取得被影響資料庫的控制權。,SQL帳號設定(cont.),normaluser一般使用者權限(建議使用)造成影響攻擊者只能掌控被攻陷的那個使用者的資料庫在比較好的情況下，攻擊者只能執行一些閱讀指令在最差狀況下，攻擊者也只能夠閱讀或寫入被攻陷的那個使用者的表格,如何防範SQLInjection,網頁程式撰寫方面過濾輸入條件中可能隱含的sql指令，如INSERT、SELECT、UPDATE等針對輸入條件進行規範，如無必要，應規範為僅可接受大小寫英文字母與數字等針對特殊的查詢參數進行過濾，如-、等可利用replace(xx,)進行替換進行程式寫作時，應時常檢查程式是否存在有非預期輸入資料的漏洞。,如何防範SQLInjection(cont.),資料庫管制方面Sa管理帳號的密碼管控刪除多餘的公開資料表(程式開發、範例等)若無特殊必要，將其他使用者設定為一般使用者權限，以避免完整資料庫內容遭入侵移除不必要但功能強大的延伸預存程序，如xp_cmdshell、xp_regaddmultistring、xp_unpackcab等,如何防範SQLInjection(cont.),網站伺服器方面定期修補作業系統與網站伺服器的漏洞避免ASP、PHP與JSP程式源碼洩漏，造成使用者可以直接瀏覽更改預設的網站虛擬路徑，如IIS系統不要使用預設的C:InetpubWWWRoot的目錄不提供錯誤訊息給使用者攻擊者可藉由回報的錯誤訊息得知資料庫的結構建議將錯誤輸入重導到適當網頁修改C:WINNTHelpiisHelpcommon500-100.asp的預設錯誤網頁,如何防範SQLInjection(cont.),外部防護系統的控管可藉由防火牆系統管制port1433與1434的連線藉由防火牆限制網路登入者的身份藉由Host-basedIDS或Application-basedIDS來監控系統運作的執行,參考資料,TheOpenWebApplicationSecurityProjecthttp:/www.owasp.