论文部分内容阅读
[摘要]“没有网络安全就没有国家安全”,网络安全的核心是保护网络可共享资源的安全。SQL注入攻击是最常见的一种网络安全问题,被OWASP列为“十大Web应用系统安全威胁之首”。以DVWA渗透测试平台,以PHP+Mysql环境为例,介绍SQL注入攻击的过程和基本原理,最后给出安全防范措施,为防御SQL注入攻击提供一些方法和手段。虽以PHP环境为例,但对其他编程语言开发的Web程序也有借鉴意义。
[关键词]网络安全;Web安全;SQL注入;防范措施
[中图分类号]TP393
[文献标志码]A
[文章编号]2096-0603(2019)07-0036-02
在“互联网+”时代,越来越多的服务在网上完成,越来越多的系统是基于互联网的Web系统,而其中绝大多数系统需要后台数据库支持,数据库中数据的安全问题则成为重点关注的问题。SQL注入是最常见的一种数据库安全漏洞,被0WASP(开放式Web应用程序安全项目)列为“十大Web应用系统安全威胁之首”。
一、SQL注入基本原理
(一)SQL注入攻击的定义
结构化查询语言简称SQL语言,是一种专门用于关系型数据库的编程语言。SQL注入攻击主要有两种形式,一种是将恶意代码嵌入在正常的SQL语句中,传递到后台数据库服务器执行,这种攻击被称为“直接攻击”或“一阶SQL注入”。另一种是事先将恶意代码保存到数据库,在攻击者第二次请求时响应并攻擊数据库,这种攻击称为“间接攻击”或“二阶SQL注入”。SQL注入具有如下的特性:
(1)广泛性:任何一个基于SQL语言的数据库都可能被攻击,很多开发人员在编写Web应用程序时未对从输入参数、Web表单、cookie等接受到的值进行规范性验证和检测,通常会出现SQL注入漏洞。
(2)隐蔽性:SQL注入语句一般都嵌人在普通的HTTP请求中,很难与正常语句区分开,所以当前许多防火墙都无法识别予以警告,而且SQL注入变种极多,攻击者可以调整攻击的参数,所以使用传统的方法防御SQL注入效果非常不理想。
(3)危害大:攻击者通过SQL注入获取到服务器的库名、表名、字段名,从而获取到整个服务器中的数据,对网站用户的数据安全有极大的威胁。攻击者也可以通过获取到的数据,得到后台管理员的密码,然后对网页页面进行恶意篡改。这样不仅对数据库信息安全造成严重威胁,对整个数据库系统安全也影响重大。
(4)操作方便:互联网上有很多SQL注入工具,简单易学,攻击过程简单,不需要专业知识也能自如运用。
(二)案例演示
下面使用DVWA(Damn Vulnerable W eb Application)演示SQL注入过程,系统环境为PHP+Mysql。
1.正常输入
我们先进行一次正常查询,在BH框中输入1,预期显示BH为1的用户信息,如图1所示。查看源码为:$querySQL=“select*from tab_user where bh={$bh}”,构造语句为:“select * from tab_userwherebh=1”。这是正常输入,输出的结果与预期相符。
2.获取查询结果列数
SQL语句中加入order by子句,可以检测查询结果中包含多少列。如图2所示,输入:“1 or3=3 order by 1 #”,此语句where查询条件中逻辑或一个3=3的恒等式,所以不管表中是否有BH为1的用户,都能够查询成功。继续输入“1 or 3=3 order by 2#”,“1or3=3orderby3#”,按照第一二列和第三列排序,语句执行正常,说明查询结果中至少包含三列;输入“1 or 3=3 order by 4#”,语句执行失败,说明结果列的数量只有三列。
3.获取当前数据库
输入“1 union select 2,2,database()#”,其中database()函数可以返回当前数据库名,输出结果如图3所示,可以看到当前数据库为“injection’。
4.获取数据库中的表
输入:“1 union select 2,2,group_concat(table_name)frominformation_schema.tables where table_schema=database()#”,提交后屏幕上显示当前数据库中有两个表,表名为tab_user和test。
5.获取表中字段
输入:“1 union select 2,2,group_concat(column_name)frominformation_schema.columns where table_name=‘tab_user’ #”,提交后在看到tab_user表包含的三列,分别为bh,name,password。
6.获取表中数据
输入:“1 union select 2,group_concat(BH,name),group_concat(password)from tab_user #”,即可以查询出tab_user表中的用户名和密码这些重要数据,结果如图4所示。
二SQL注入防范措施
SQL注入攻击方式很多,在这个案例中我们使用简单的SQL注入攻击手段轻松获得数据库中未授权的信息,可见SQL注入攻击危害极大。如何防止或减轻SQL注入攻击?当然“防患于未然’是最好的策略,下面从多个角度介绍一些SQL注入攻击的防范措施。
(一)数据库服务器端防范措施
1.数据库服务器做好加固,安装防火墙,及时打补丁,使用最低权限账号运行数据库。 2.修改一些数据库端默认配置,比如oracle数据库中数据库链能够被远程访问,应该将其从普通账户中移除。
3.删除系统安装时的默认账户,重新创建账户,根据应用定制账户,每个账户只授予最小权限。
4.隔离用户登录,将查询权限与增、删、改权限分别用不同的账户来实现,使每个登录权限仅仅具有其功能所必需的数据库访问权限。
5.撤销public权限,不使用“grant…to public”语句进行授权,精确授权。
6.删除危险的系统存储过程、函数,比如SQL SERVER中的xp_cmdshell、sp_configure 等。
7.使用数据库端编程,自定义存储过程或自定义函数,并且给某些用户只授予execute权限,前端程序只能通过调用存储过程或者函数来访问数据库。
8.对传入存储过程的参数进行有效性验证,避免数据成为SQL控制流的一部分。
9.口令等敏感数据不能直接存储在数据库中,最好是存储口令的加盐哈希。其他关键数据也都使用强加密技术进行存储。
10.避免明显的对象名。比如表中存密码的列名定义为password,pwd,pass等,这是个安全隐患。
(二)Web服务器端防范措施
1.安装Web应用防火墙,关闭不需要的端口和权限,设置安全目录保护重要文件。
2.使用独立的主机做服务器,避免與数据库服务器部署在同一台主机上。
3.提高Web日志详细程度,定期查看日志。
4.使用空的默认Web站点,查询请求未找到匹配值,则默认跳转到该站点。
(三)Web前端程序防范措施
1.验证每一个输入值,对用户请求的数据进行过滤。
2.封装输入校验类,对输入项校验通过后,再用于构造动态SQL语句。
3.使用预编译的SQL语句绑定变量,使攻击者无法改变SQL语句的结构。如:
$stmt=$conn?prepare(“INSERT INTO MyUsers(XM,id,adr)VALUES(?,?,?)”);
$stmt?bind_param(“qaz”,$id,$adr)。
4.使用参数化语句,避免在前端构造动态SQL。
5.检查数据类型。
6.隐藏不必要的错误信息。
7.输入的内容用其他控件产生,比如密码通过软键盘输入,动态写人页面。
三、结语
SQL注入是一种常见的攻击手段,危害极大。本文通过案例演示介绍SQL注入攻击的过程,并总结了常用的防范措施,有助于一定程度上减轻SQL注入的危害,具有一定的应用价值。
随着技术的发展,SQL注入的漏洞也在更新,SQL注入攻击技术也在发展,它的隐蔽性和攻击性更强。所以随着新技术的不断出现,SQL注入漏洞的研究也要不断深入。
参考文献:
[1]黄芳,苏桂莲.Web应用中SQL注入攻击与防范探析[J].软件导刊,2012,1(11):137-138.
[2]唐林.数据库SQL注入技术及其防护[J].湖北函授大学学报,2014(10):104-105.
[3]吴宗卓.SQL注入防御技术研究与实现[J]电子测试,2015(21):81-82.
[关键词]网络安全;Web安全;SQL注入;防范措施
[中图分类号]TP393
[文献标志码]A
[文章编号]2096-0603(2019)07-0036-02
在“互联网+”时代,越来越多的服务在网上完成,越来越多的系统是基于互联网的Web系统,而其中绝大多数系统需要后台数据库支持,数据库中数据的安全问题则成为重点关注的问题。SQL注入是最常见的一种数据库安全漏洞,被0WASP(开放式Web应用程序安全项目)列为“十大Web应用系统安全威胁之首”。
一、SQL注入基本原理
(一)SQL注入攻击的定义
结构化查询语言简称SQL语言,是一种专门用于关系型数据库的编程语言。SQL注入攻击主要有两种形式,一种是将恶意代码嵌入在正常的SQL语句中,传递到后台数据库服务器执行,这种攻击被称为“直接攻击”或“一阶SQL注入”。另一种是事先将恶意代码保存到数据库,在攻击者第二次请求时响应并攻擊数据库,这种攻击称为“间接攻击”或“二阶SQL注入”。SQL注入具有如下的特性:
(1)广泛性:任何一个基于SQL语言的数据库都可能被攻击,很多开发人员在编写Web应用程序时未对从输入参数、Web表单、cookie等接受到的值进行规范性验证和检测,通常会出现SQL注入漏洞。
(2)隐蔽性:SQL注入语句一般都嵌人在普通的HTTP请求中,很难与正常语句区分开,所以当前许多防火墙都无法识别予以警告,而且SQL注入变种极多,攻击者可以调整攻击的参数,所以使用传统的方法防御SQL注入效果非常不理想。
(3)危害大:攻击者通过SQL注入获取到服务器的库名、表名、字段名,从而获取到整个服务器中的数据,对网站用户的数据安全有极大的威胁。攻击者也可以通过获取到的数据,得到后台管理员的密码,然后对网页页面进行恶意篡改。这样不仅对数据库信息安全造成严重威胁,对整个数据库系统安全也影响重大。
(4)操作方便:互联网上有很多SQL注入工具,简单易学,攻击过程简单,不需要专业知识也能自如运用。
(二)案例演示
下面使用DVWA(Damn Vulnerable W eb Application)演示SQL注入过程,系统环境为PHP+Mysql。
1.正常输入
我们先进行一次正常查询,在BH框中输入1,预期显示BH为1的用户信息,如图1所示。查看源码为:$querySQL=“select*from tab_user where bh={$bh}”,构造语句为:“select * from tab_userwherebh=1”。这是正常输入,输出的结果与预期相符。
2.获取查询结果列数
SQL语句中加入order by子句,可以检测查询结果中包含多少列。如图2所示,输入:“1 or3=3 order by 1 #”,此语句where查询条件中逻辑或一个3=3的恒等式,所以不管表中是否有BH为1的用户,都能够查询成功。继续输入“1 or 3=3 order by 2#”,“1or3=3orderby3#”,按照第一二列和第三列排序,语句执行正常,说明查询结果中至少包含三列;输入“1 or 3=3 order by 4#”,语句执行失败,说明结果列的数量只有三列。
3.获取当前数据库
输入“1 union select 2,2,database()#”,其中database()函数可以返回当前数据库名,输出结果如图3所示,可以看到当前数据库为“injection’。
4.获取数据库中的表
输入:“1 union select 2,2,group_concat(table_name)frominformation_schema.tables where table_schema=database()#”,提交后屏幕上显示当前数据库中有两个表,表名为tab_user和test。
5.获取表中字段
输入:“1 union select 2,2,group_concat(column_name)frominformation_schema.columns where table_name=‘tab_user’ #”,提交后在看到tab_user表包含的三列,分别为bh,name,password。
6.获取表中数据
输入:“1 union select 2,group_concat(BH,name),group_concat(password)from tab_user #”,即可以查询出tab_user表中的用户名和密码这些重要数据,结果如图4所示。
二SQL注入防范措施
SQL注入攻击方式很多,在这个案例中我们使用简单的SQL注入攻击手段轻松获得数据库中未授权的信息,可见SQL注入攻击危害极大。如何防止或减轻SQL注入攻击?当然“防患于未然’是最好的策略,下面从多个角度介绍一些SQL注入攻击的防范措施。
(一)数据库服务器端防范措施
1.数据库服务器做好加固,安装防火墙,及时打补丁,使用最低权限账号运行数据库。 2.修改一些数据库端默认配置,比如oracle数据库中数据库链能够被远程访问,应该将其从普通账户中移除。
3.删除系统安装时的默认账户,重新创建账户,根据应用定制账户,每个账户只授予最小权限。
4.隔离用户登录,将查询权限与增、删、改权限分别用不同的账户来实现,使每个登录权限仅仅具有其功能所必需的数据库访问权限。
5.撤销public权限,不使用“grant…to public”语句进行授权,精确授权。
6.删除危险的系统存储过程、函数,比如SQL SERVER中的xp_cmdshell、sp_configure 等。
7.使用数据库端编程,自定义存储过程或自定义函数,并且给某些用户只授予execute权限,前端程序只能通过调用存储过程或者函数来访问数据库。
8.对传入存储过程的参数进行有效性验证,避免数据成为SQL控制流的一部分。
9.口令等敏感数据不能直接存储在数据库中,最好是存储口令的加盐哈希。其他关键数据也都使用强加密技术进行存储。
10.避免明显的对象名。比如表中存密码的列名定义为password,pwd,pass等,这是个安全隐患。
(二)Web服务器端防范措施
1.安装Web应用防火墙,关闭不需要的端口和权限,设置安全目录保护重要文件。
2.使用独立的主机做服务器,避免與数据库服务器部署在同一台主机上。
3.提高Web日志详细程度,定期查看日志。
4.使用空的默认Web站点,查询请求未找到匹配值,则默认跳转到该站点。
(三)Web前端程序防范措施
1.验证每一个输入值,对用户请求的数据进行过滤。
2.封装输入校验类,对输入项校验通过后,再用于构造动态SQL语句。
3.使用预编译的SQL语句绑定变量,使攻击者无法改变SQL语句的结构。如:
$stmt=$conn?prepare(“INSERT INTO MyUsers(XM,id,adr)VALUES(?,?,?)”);
$stmt?bind_param(“qaz”,$id,$adr)。
4.使用参数化语句,避免在前端构造动态SQL。
5.检查数据类型。
6.隐藏不必要的错误信息。
7.输入的内容用其他控件产生,比如密码通过软键盘输入,动态写人页面。
三、结语
SQL注入是一种常见的攻击手段,危害极大。本文通过案例演示介绍SQL注入攻击的过程,并总结了常用的防范措施,有助于一定程度上减轻SQL注入的危害,具有一定的应用价值。
随着技术的发展,SQL注入的漏洞也在更新,SQL注入攻击技术也在发展,它的隐蔽性和攻击性更强。所以随着新技术的不断出现,SQL注入漏洞的研究也要不断深入。
参考文献:
[1]黄芳,苏桂莲.Web应用中SQL注入攻击与防范探析[J].软件导刊,2012,1(11):137-138.
[2]唐林.数据库SQL注入技术及其防护[J].湖北函授大学学报,2014(10):104-105.
[3]吴宗卓.SQL注入防御技术研究与实现[J]电子测试,2015(21):81-82.