基于滲透測試的SQL注入的防范

趙燦 秦水介

【摘要】 隨著Internet的進一步普及和計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，基于Web技術(shù)和數(shù)據(jù)庫架構(gòu)的應(yīng)用系統(tǒng)已經(jīng)逐漸成為主流，但是Web應(yīng)用系統(tǒng)在網(wǎng)絡(luò)中面臨的安全風險與日劇增。Web安全滲透測試技術(shù)是一種針對Web應(yīng)用的積極防范技術(shù)。在眾多針對Web應(yīng)用攻擊手段中，SQL注入攻擊是最常用的也是最易于實施的方法。本文有針對性地研究了SQL注入漏洞的相關(guān)防范技術(shù)，并對防范的細節(jié)加以敘述。

【關(guān)鍵詞】 SQL注入 滲透測試 防范

隨著web技術(shù)的發(fā)展，以及腳本語言的簡單易用，很多公司都進行網(wǎng)頁開發(fā)設(shè)計。但是許多網(wǎng)頁程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行嚴格的判斷和過濾，從而使網(wǎng)頁應(yīng)用程序存在安全隱患和漏洞。SQL 注入攻擊時針對腳本系統(tǒng)的攻擊中最常見的一種攻擊方式，也是危害最大的一種攻擊手段。

一、SQL注入的影響

當攻擊者們發(fā)現(xiàn)SQL注入漏洞后，下一步就是利用這個漏洞拿到服務(wù)器的webshell。一旦服務(wù)的被攻陷，服務(wù)器上的敏感數(shù)據(jù)以及公司乃至國家的利益都將受到不可估測的損失?；谝恍┎话踩牟渴穑锌赡苤苯訒鼍W(wǎng)站管理員的賬號和密碼，直接就能對服務(wù)器的數(shù)據(jù)進行刪除，添加以及拷貝等操作。

表名猜解：and exists （select * from admin）

列名猜解：and exists （select pwd/password from admin）

猜解庫中表的個數(shù)： order by 任意數(shù)

爆用戶名和密碼： http：//www.host.com/test.asp？id=100 and 1=2 union select 1，2，3，4，5，6…from admin

步步結(jié)束的過程，就是利用sql注入漏洞攻陷服務(wù)器的過程。

二、SQL注入攻擊防范

2.1編程防范

2.1.1對用戶輸入的數(shù)據(jù)進行過濾

對用戶輸入的數(shù)據(jù)進行過濾是防止SQL注入攻擊的關(guān)鍵所在，常見的過濾方式基礎(chǔ)過濾，二次過濾以及SQL通用防注入程序等多種方式。在SQL注入入侵前，需要在可修改參數(shù)中提交“ ‘”，“and”等字符來判斷是否存在SQL注入漏洞，在進行SQL注入攻擊時，要提交包含“--”，“update”，“select”等特殊字符的SQL注入語句。例如圖1所示。

基于一些不安全的部署，有可能直接會爆出網(wǎng)站管理員的賬號和密碼，直接就能對服務(wù)器的數(shù)據(jù)進行刪除，添加以及拷貝等操作。

2.1.2設(shè)置錯誤提示信息

SQL注入主要依據(jù)是IIS給出的ASP錯誤信息，所以配置IIS和數(shù)據(jù)庫用戶權(quán)限，可以防止SQL注入攻擊。

2.2 數(shù)據(jù)庫防范

數(shù)據(jù)庫文件是網(wǎng)站運行過程中的核心文件，對數(shù)據(jù)庫安全防范措施中，最為直接和簡單的辦法就是對本機數(shù)據(jù)庫文件的安全防范。修改數(shù)據(jù)庫的下載地址，在數(shù)據(jù)庫屬性欄里，選擇重定向到URL。修改數(shù)據(jù)庫文件名。但是只是簡單的對網(wǎng)站數(shù)據(jù)庫文件的后綴進行更改，是不能保證不被拖庫的，還需另外一種方法，即在數(shù)據(jù)庫文件名中添加#符號，如#123.asp。通過添加#號就可以一定程度上防止數(shù)據(jù)庫被下載。修改數(shù)據(jù)庫離默認的sa用戶空口令，嚴格控制數(shù)據(jù)庫用戶的權(quán)限，不輕易讓用戶對表有直接查詢，更改，插入和刪除的權(quán)限。修改不必要的擴展存儲過程。

三、防范遇到的問題

此時我們按照上面的做法的確能夠防范到一部分的攻擊，但是并不是所有的編程人員都能意識到安全問題，并不是所有的輸入都能被檢測截斷，例如我們在waf上布置策略，過濾關(guān)鍵字，但是攻擊者依然能夠用空格，分號，大小寫等繞過關(guān)鍵字的檢測，來繞過安全設(shè)備進入內(nèi)網(wǎng)。

四、結(jié)束語

網(wǎng)絡(luò)攻擊利用這些存在的漏洞和安全缺陷對系統(tǒng)和資源進行攻擊。如何更好的預(yù)防SQL注入，廣大的安全工作者們?nèi)沃囟肋h。在這場攻擊與防御的拉鋸戰(zhàn)中，越來越多的攻擊者與安全人員加入進來。在現(xiàn)在這個網(wǎng)絡(luò)即世界的大環(huán)境下，網(wǎng)絡(luò)戰(zhàn)爭也是一觸即發(fā)。 如何做到保護小家到大家的安全，都要我們不懈努力。

參 考 文 獻

[1] 陳小兵，張漢煜，駱力明，黃河.SQL 注入攻擊及其防范檢測技術(shù)研究[J].計算機工程與應(yīng)用，2007，43（11）：150-152.

[2]SQL注入與防御：第二版/（美）克拉克（Clarke，J.）著

[3]https：//technet.microsoft.com/en-us/library/cc512676.aspx

[4]徐陋，姚國祥.SQL 注入攻擊全面預(yù)防辦法及其應(yīng)用[J].微計算機信息， 2006，22（3）：10-12.

[5]劉帥.SQL 注入攻擊及其防范檢測技術(shù)的研究[J].電腦知識與技術(shù)，2009，5（28）：7870-7872