安全技术研究-SQL注入：安全技术研究-SQL注入

介绍

sql注入应该无人不知无人不晓，他并不是什么新的或很复杂的攻击类型，但在被黑客使用了20多年之后，它仍然高居OWASP TOP10 应用程序安全风险之首，可见他的价值不低。这主要是由于这类漏洞相对而已比较易于使用，另外对于那些用户数量惊人的网站，但是开发的代码却写得非常糟糕，代码还有很多漏洞、缺陷，有时候就会造成非常严重的影响，

SQL是一种查询语言，旨在访问、修改和删除存储在关系数据库中的数据。许多web应用程序和网站使用SQL数据库作为数据存储方法。和一些最新技术的WEB应用程序相比，使用PHP和ASP等较老功能接口的WEB应用程序相对来说更容易受到SQL注入的影响和攻击。

当web应用程序未对用户提供的数据进行验证、过滤转义字符或清除时，应用程序很容易受到攻击。

攻击者可以使用SQL注入通过从客户端到web应用程序的输入数据操纵SQL查询，从而迫使SQL服务器执行使用不受信任的输入构造的非预期操作。

影响及危害

成功的SQL注入攻击可能导致恶意用户获得对数据库服务器中所有数据的完全访问权，并能够执行未经授权的SQL查询，破坏应用程序的机密性、完整性和可用性。根据使用的后端DBMS和授予用户的数据库权限，SQL注入可能导致任意文件读/写，甚至远程代码执行。

我们不应该低估SQL注入造成的攻击严重性。据报道，臭名昭著的黑客攻击，包括破坏性和国际知名的索尼影业(Sony Pictures)和领英(LinkedIn)的黑客攻击，都是使用SQL注入执行的。

场景

通过SQL破坏应用程序逻辑可能会导致不可预测的结果，这取决于SQL语句的上下文和攻击者的策略。

根据代码中存在的漏洞种类不同，攻击者使用的攻击手段也大相径庭。

有些会尝试操作SQL查询逻辑中的漏洞，来绕过访问控制。

有些会尝试查询隐藏数据以返回额外的结果，包括来自数据库中其他表的数据，例如，利用UNION关键字。

有些会尝试在数据库上下文中执行任意SQL代码。

还有一些会尝试在操作系统中访问文件和执行命令，不过这具体取决于漏洞代码和数据库管理系统。

另外有一种sql攻击，当注入成功时，应用程序的代码并不会将操作查询的结果返回给攻击者，它被称为SQL盲注。虽然返回的信息有效，但盲注入仍然可以利用时间分析、内容分析或其他超出限制的技术来检索内容。

下面是一个利用应用程序逻辑漏洞来绕过访问控制的经典示例。

作为登录到应用程序的方法，用户名和密码是普遍存在的。在这个场景中，用户提交用户名user和密码secret。然后应用程序执行一个SQL查询来验证凭据:

SELECT * FROM users WHERE username = 'user' AND password = 'secret'

如果查询返回用户的详细信息，则登录成功。如果查询不返回用户详细信息，则会被拒绝。

通过利用单引号和SQL注释(--)，可以让恶意用户不需要知道密码就可以登陆别人的账号，通过分析代码我们可以知道这是因为WHERE子句中的密码检查的代码被单引号或sql注释符注释掉了。

下面的示例演示了这个场景。在用户名字段中输入administrator'--，密码字段为空，SQL语句的结果如下:

SELECT * FROM users WHERE username = 'administrator'--' AND password = '

数据库在没有注释掉的部分的情况下计算该语句，只执行第一部分:

SELECT * FROM users WHERE username = 'administrator'

由于被操纵的查询总是返回管理员用户的详细信息，因此攻击者可以在不知道正确密码的情况下成功登录

如何防护

为了避免SQL注入漏洞，开发人员需要使用参数化查询，为参数指定占位符，这样它们就不会被视为SQL命令的一部分;更确切地说，仅仅是数据库中的数据。

在使用老旧系统时，开发人员需要在将输入添加到查询之前对其进行转义。对象关系映射器(orm)使开发人员更容易做到这一点;可惜它们不是万能的，我们仍然需要做好底层的缓解措施:需要验证不可信的数据，除非绝对必要，否则应该避免使用连接查询，最后也是关键，最小化不必要的SQL帐户特权是至关重要的。

关于sql注入目前市面上用的最多的应该是sqlmap，他集成了绝大部分已知的sql注入语句，一般用户可以很容易的上手，但作为信息安全专业的同学最好先了解原理然后尝试手动sql注入，这样对漏洞挖掘才有帮助。 你有发现什么新颖，奇特，好玩的sql注入语句吗？请分享在评论区探讨吧！