SQL攻击的分析与防范

1、sql攻击的分析与防范摘 要 自进入2008年以来，网络界经受了前所未有的sql注入式攻击，这些网站的页面被修改、数据库被删除或程序被植入恶意代码。给这些网站带来巨大的损失。本文结合多年的网站程序设计与维护的经验来谈谈sql注入式攻击的一般原理、注入方法及防范措施。关键字sql，注入，攻击，方法，防范，安全近来，当打开网站，查看网页新闻时，会看到一系列有关sql注入攻击的新闻：1月，自动sql注入攻击了超过70,000个美国网站。4月，f-secure表示其发现超过五十万网页都被恶意javascript代码攻击。7月，索尼游戏机playstation(ps)的美国网站遭到sql注入攻击。10月

2、，adobe旗下网站遭受sql注入攻击。可见，sql注入攻击的危害十分巨大。但sql注入攻击也不是洪水猛兽，只要在开发web程序时多加防范，就可以减少sql注入攻击的威胁。本文从原理上分析实现sql注入的一般方法，并根据这些方法提出相应的防范措施，为web程序的开发提供一些帮助。一、sql注入原理据统计，目前国内80%以上的网站都是采用web动态网页结合后台数据库架设而成的。网页先从用户的请求中得到某些参数，然后动态地生成sql语句请求发送给数据库，再把从数据库中得到的结果返回给网页，从而完成网页执行的功能。然而，在许多web网站系统开发过程中，由于程序员编写的代码没有对用户输入数据的合法性进

3、行判断，造成应用程序存在安全隐患。恶意攻击者可以利用用户可提交或可修改的数据，构造出特殊目的sql语句，并将其插入到系统实际执行的sql语句中，从而随意获取数据库中的重要信息（如管理员用户名和密码等），修改、添加和删除数据库，甚至控制整个网站服务器。这就是所谓的sql injection，即sql注入式攻击，简称sql注入。简单地说，所谓sql注入漏洞就是用户可提交构造特殊的sql语句并得到执行的情形。所谓sql注入攻击，就是利用sql注入漏洞，非法获取数据库信息，或者入侵网站服务器的行为。安全专家提示：sql注入是从正常的www端口进行访问网站，表面上看跟一般的web页面访问没什么区别，所以

4、目前市面上的防火墙都不会对sql注入发出警报，如果管理员没查看iis日志的习惯，可能被入侵很长时间都不会察觉，从而造成数据的泄漏，给网站带来巨大损失。并且随着web2.0功能得到增强，sql注入漏洞的风险也随之加大，黑客也在不断优化他们的攻击手段和工具。二、sql注入方法1.收集程序及服务器信息。在没有设置防注入的网站中，可以通过默认链接正常打开新的页面(测试地址：./test1/news/show.asp?id=78)，但是在这个地址后面加上单引号“”，服务器将会返回下面的错误提示：microsoft jet database engine 错误 80040e14 字符串的语法错误 在查询表

5、达式 id = 78 中。 /news/shown.asp，行 6 通过这个错误提示，能获取以下几点信息：(1).该网站使用的是access数据库，通过jet引擎连接数据库，而不是通过odbc。(2).程序没有判断客户端提交的数据是否符合程序要求。(3).该sql语句所查询的表中有一名为id的字段。根据这些提示信息，就可以进一步进行sql注入测试。2获取后继页面信息在asp程序中，往往利用querystring参数进行不同页面之间的数据传递，在要打开新的链接时，asp服务器先从url中提取出querystring参数中的id值，然后根据id值动态生成后继页面。如有以下代码：id = reque

6、st(id)sql = select * from news where id= & idset rs = server.createobject(adodb.recordset)rs.open sql, dsn=.do while not rs.eofresponse.write rs(content)rs.movenextloopset rs = nothin在一般情况下，此asp脚本能够显示具有特定id值的文章的内容（ ./test1 /news/shown.asp?id=78），而 id 值是由url中的 querystring 参数指定的。然而此段代码存在sql注入攻击漏洞。某些恶意

7、用户可以把querystring中的id值偷换为“78 or 1=1”，则原url变为：./test1/news/shown.asp?id=78 or 1=1，从而诱使asp脚本生成不安全的sql指令如下：select * from news where id=0 or 1=1因1=1永远成立，所以原sql指令等效为：select * from news于是，数据库将会返回所有文章的内容。当然，本例中服务器所受的攻击只是文章信息的泄漏，并不会引起很严重后果。但是，如果攻击者用同样的手段发送delete等sql指令有可能把表里的内容全部删除。3非法成功提交表单sql注入攻击除了可以通过url实现

8、外，还可以通过页面中的表单实现，而且通过表单提交的sql注入攻击在方式上更加灵活，危害也更大。比如在设计用户登录页面时，正常的做法是在登录页面中设计一表单，要求用户在表单中提交用户名（username）和密码（password）,只有当用户名和密码均正确时才能通过验证。假定有两个页面：一个登录页面 (./test1/userlogin/index.asp) 用于登录，另一个审核页面(./test1/userlogin/logincheck.asp) 用于验证用户权限(即向数据库查询用户名/密码组合是否存在)。(1).登录页面 username: password: (2).审核页面user =

9、 request (username)psd = request (password)sql = select * from users where username= & user & and password= & psd & set rs = server.createobject(adodb.recordset)rs.open sql, dsn=.if (rs.eof) thenresponse. .redirect admin.aspelseresponse.redirect err.aspend ifset rs = nothing初看，审核页面的代码似乎没有任何安全漏洞，因为用户

10、如果不给出有效的用户名密码组合就无法登录。然而，正是这段代码成了sql注入攻击的理想目标。攻击者可以在表单的用户名或密码栏中输入包含“or”和“=”等的特殊字符，于是，提交给数据库的sql指令就可能变成： sql = select * from users where username=* or 1=1 and password =* or 1=1根据前述，可以知道，sql 服务器将返回包含users表格中的所有记录的记录集，但在此处设计者往往不会设计循环查询，所以asp脚本将会以users表中的第一条记录的身份允许其登录网站，而在很多网站中的第一条记录的用户名往往就是admin！因此，登录后

11、你便可以管理整个网站的资源。即在不知道用户名和密码的情况下，服务器通过验证。从而绕过服务器的条件审查而非法登录网站，实现sql注入。例如：在网站的后台管理用户登录时(测试地址：./test1/userlogin/index.asp)，将字符串“a or 1=1 or 1”作为用户名和密码提交则成功绕过密码审核而直接登录。三、sql注入防范为了防止sql注入造成数据泄漏，可以采用相应的措施来加强网站的安全。1.关闭错误信息提示如在第一例中，只要在服务器上的iis管理器中做如下设置，右击站点，在弹出的菜单中选择属性，在弹出的对话框的主目录选项卡中单击配置，在应用程序配置对话框的调试选项卡中的“脚本

12、错误的错误信息”选项中选择“向客户端发送下列文本错误消息（t）：”并可设置简单的文本提示，也可以使用默认的提示文本。这时，别人就无法通过asp的错误信息来获得有关服务器及数据库等的相关信息了。2.防止通过url注入对通过querystring参数进行传递id时，根据id是数字的特性，可以把querystring参数进行限定：一是限定为数字字符(函数：isnumeric)，二是限定长度。如果可以预见最大的记录数（假定为9999），那么就可以把querystring参数的长度限定在4位。对于需在不同页面间进行传送用户名、密码及权限等其它信息时，则不建议采用querystring参数在url中显式传

13、送，而应该采用cookif或session进行隐式传送。另外，session数据是不写入本地硬盘的，随网页的关闭而失效，因此安全性上高于cookie。3.防止构造非法sql命令在网站中数据的提交往往是通过表单来进行的，对于用户名、密码，可以指定用户所使用的字符集及字符串长度。但对于文章就无法指定用户所使用的字符集及字符串长度了。可以使用替换法替换掉一些特定的字符，使这些字符在html的页面中可以正常显示，但在sql命令中却无法识别。如：if not isnull(htmlstr) then htmlstr = replace(htmlstr, , >) htmlstr = replace

14、(htmlstr, , <) htmlstr = replace(htmlstr, chr(32),  ) htmlstr = replace(htmlstr, chr(9),  ) htmlstr = replace(htmlstr, chr(34), ") htmlstr = replace(htmlstr, chr(39), ) htmlstr = replace(htmlstr, chr(13), ) htmlstr = replace(htmlstr, chr(10) & chr(10), ) htmlstr = replace(htmlstr,

15、chr(10), ) htmlcode = htmlstrend if4.杜绝sql注入在数据库连接文件中加入防注入代码，在连接数据库文件之前就对一些特定的字符或字符串进行拦截。http中的请求一般是通过get或者post来发送的，所以只要过滤掉get或者post请求参数信息中所有的非法字符即可。(1). 定义非法字符串首先，要定义请求中不能包含字符串，各个字符串用|隔开：dim sql_injdatasql_injdata = |and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declar

16、esql_inj = split(sql_injdata,|)(2).get的拦截：if request.querystring thenfor each sql_get in request.querystringfor sql_data=0 to ubound(sql_inj)if instr(request.querystring(sql_get),sql_inj(sql_data)0 then response.write script language=”javascript”alert(sql防注入系统提示nn请不要在参数中包含非法字符尝试注入！);history.back(-1)/scriptresponse.endend ifnextnextend if(3).plst的拦截实现了get请求的注入拦截后，可以用同样的方法来实现post请求的注入拦截。要做的只是把字符串request.querystring替换成r