Web系统常见安全漏洞及解决方案-SQL盲注

关于web安全测试,目前主要有以下几种攻击方法:

1.XSS

2.SQL注入

3.跨目录访问

4.缓冲区溢出

5.cookies修改

6.Htth方法篡改(包括隐藏字段修改和参数修改)

7.CSRF

8.CRLF

9.命令行注入

今天主要讲下SQL盲注。

一、SQL 盲注、发现数据库错误模式、跨站点脚本编制


严重性:



类型:


应用程序级别测试


WASC威胁分类:


命令执行类型:SQL 注入


CVE 引用:


不适用


安全风险:


1.      可能会查看、修改或删除数据库条目和表   ---SQL盲注

2.      可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务    ---跨站的脚本编制

发现数据库错误模式、跨站点脚本编制都是此类行Bug

l          可能原因

1.       未对用户输入正确执行危险字符清理

l          技术描述

AppScan 在测试响应中发现到“SQL 注入”以外的攻击所触发的“数据库错误”。  虽然不确定,但这个错误可能表示应用程序有“SQL 注入”漏洞。

Web 应用程序通常在后端使用数据库,以与企业数据仓库交互。查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本)。Web 应用程序通常会获取用户输入(取自 HTTP 请求),将它并入 SQL 查询中,然后发送到后端数据库。接着应用程序便处理查询结果,有时会向用户显示结果。  如果应用程序对用户(攻击者)的输入处理不够小心,攻击者便可以利用这种操作方式。在此情况下,攻击者可以注入恶意的数据,当该数据并入 SQL 查询中时,就将查询的原始语法更改得面目全非。例如,如果应用程序使用用户的输入(如用户名和密码)来查询用户帐户的数据库表,以认证用户,而攻击者能够将恶意数据注入查询的用户名部分(和/或密码部分),查询便可能更改成完全不同的数据复制查询,可能是修改数据库的查询,或在数据库服务器上运行 Shell 命令的查询。  一般而言,攻击者会分步实现这个目标。他会先学习 SQL 查询的结构,然后使用该知识来阻挠查询(通过注入更改查询语法的数据),使执行的查询不同于预期。假设相关查询是:  SELECT COUNT(*) FROM accounts WHERE username=‘$user‘ AND password=‘$pass‘ 
其中 $user 和 $pass 是用户输入(从调用构造查询的脚本的 HTTP 请求收集而来 - 可能是来自 GET 请求查询参数,也可能是来自POST 请求主体参数)。此查询的一般用法,其值为 $user=john、$password=secret123。形成的查询如下:SELECT COUNT(*) FROM accounts WHERE username=‘john‘ AND password=‘secret123‘ 
如果数据库中没有这个用户密码配对,预期的查询结果便是 0,如果此类配对存在(也就是数据库中有名称为“john”的用户,且其密码为“secret123”),结果便是 >0。这是应用程序的基本认证机制。但攻击者可以用下列方式来更改此查询:  攻击者可以提供单引号字符(‘)所组成的输入,使数据库发出错误消息,其中通常包含关于 SQL 查询的有价值的信息。攻击者只需在发送的请求中包含用户值 ‘,并在密码中包含任何值(如 foobar)。结果便是下列(格式错误)的 SQL 查询:SELECT COUNT(*) FROM accounts WHERE username=‘‘‘ AND password=‘foobar‘ 
这可能会产生以下错误消息(取决于后端所使用的特定数据库):查询表达式 ‘username = ‘‘‘ AND password = ‘foobar‘‘ 中发生语法错误(遗漏运算符)。  这时攻击者便得知查询是根据表达式 username=‘$user‘ AND password=‘$pass‘ 来构建的。利用手边的 SQL 查询时需要这一关键信息。攻击者了解查询的格式后,下一步只需使用: 
user = ‘ or 1=1 or ‘‘=‘ password = foobar  生成的查询如下: 
SELECT COUNT(*) FROM accounts WHERE username=‘‘ or 1=1 or ‘‘=‘‘ AND password=‘foobar‘  这表示查询(在 SQL 数据库中)对于“accounts”表的每项记录都会返回 TRUE,因为 1=1 表达式永远为真。因此,查询会返回“accounts”中的记录数量,于是用户(攻击者)也会被视为有效。这个探测方法有若干变体,例如,发送 ‘; or /‘(您应该记住,几乎所有供应商都有他们自己唯一的 SQL“版本”。具体地说,发送 ‘ having 1=1,也会生成错误消息,此消息会泄露有关列名称的信息。在某些情况下,用户输入不会并入字符串上下文(用单引号括住),而是并入数字上下文,换言之,就是依现状嵌入。因此,在这种情况下,可以使用输入字符串 1 having 1=1。  盲目 SQL 注入技术:  
降低 SQL 注入攻击风险的一般方式,是禁止详细的 SQL 错误消息,攻击者通常便利用这些消息(如上述示例所说明),轻易找出容易遭受“SQL 注入的脚本。  这个(以遮盖获取安全)解决方案可以利用称为“盲目 SQL 注入”的技术来略过,黑客不需要依赖返回 SQL 错误消息,便能找出容易遭受“SQL 注入”的脚本。 
这项技术需要发送易受攻击的参数(被嵌入在 SQL 查询中的参数)已被修改的请求,将参数修改成,使响应指出是否在 SQL 查询上下文中使用数据。这项修改包括搭配原始字符串来使用 AND Boolean 表达式,使它一时得出 true,一时得出 false。在一种情况中,最终结果应该与原始结果相同(例如:登录成功),在另一情况中,结果应该不同(例如:登录失败)。在某些少见的情况中,得出 true 的 OR 表达式也很有用。  如果原始数据是数字,可以耍较简单的花招。原始数据(如 123)可以在一个请求中替换为 0+123,在另一个请求中替换为456+123。第一个请求的结果应该与原始结果相同,第二个请求的结果应该不同(因为得出的数字是 579)。在某些情况中,我们仍需要上面所说明的攻击版本(使用 AND 和 OR),但并不转义字符串上下文。  盲目 SQL 注入背后的概念是,即使未直接收到数据库的数据(以错误消息或泄漏信息的形式),也可能抽取数据库中的数据,每次一个位,或以恶意方式修改查询。观念在于,应用程序行为(结果与原始结果相同,或结果与原始结果不同)可以提供关于所求值(已修改)之查询的单位元相关信息,也就是说,攻击者有可能规划出以应用程序行为(相同/不同于原始行为)的形式来影响其求值(单位元)的 SQL Boolean 表达式。

l          受影响产品

该问题可能会影响各种类型的产品。

l          引用和相关链接

§ “Web 应用程序分解与 ODBC 错误消息”(作者:David Litchfield):

§             “搭配 SQL 注入使用二分搜索法”(作者:Sverre H. Huseby)

§             盲目 SQL 注入培训模块

 

二、修改建议

一般

若干问题的补救方法在于对用户输入进行清理。  通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript. 代码、运行各种操作系统命令,等等。  建议过滤出所有以下字符:

[1] |(竖线符号)[2] & (& 符号)[3];(分号)[4] $(美元符号)[5] %(百分比符号)[6] @(at 符号)

原文地址:https://www.cnblogs.com/firstdream/p/8386056.html

时间: 2024-10-16 08:31:02

Web系统常见安全漏洞及解决方案-SQL盲注的相关文章

小白日记42:kali渗透测试之Web渗透-SQL盲注

SQL盲注 [SQL注入介绍] SQL盲注:不显示数据库内建的报错信息[内建的报错信息帮助开发人员发现和修复问题],但由于报错信息中提供了关于系统的大量有用信息.当程序员隐藏了数据库内建报错信息,替换为通用的错误提示,SQL注入将无法依据报错信息判断注入语句的执行结果,即为盲注. 思路:既然无法基于报错信息判断结果,基于逻辑真假的不同结果来判断 a.  1' and 1=1--+ b.  1' and 1=2--+    [输入前真后假,无返回,页面没被执行] ###a与b比较,表明存在SQL注

【安全牛学习笔记】​手动漏洞挖掘-SQL盲注

手动漏洞挖掘-----SQL盲注 不显示数据库内建的报错信息 内建的报错信息帮助开发人员发现和修复问题 报错信息提供关于系统的大量有用信息 当程序员隐藏了数据库内建报错信息,替换为通用的错误提示,sql注入将 无法依据报错信息判断注入语句的执行结果,即 盲 思路:既然无法基于报错信息判断结果,基于逻辑真假的不同结果来判断 1'and 1=1--+ 1'and 1=2--+ select * from table_name where id='1' orderby 2--'; 课时91 手动漏洞挖

【笔记】网易微专业-Web安全工程师-04.WEB安全实战-8.SQL盲注

上一节我们在实战中介绍了SQL注入的原理和危害,这一节我们要实战SQL盲注,与普通的SQL注入相比,数据库返回的结果不会显示在页面上,只会返回成功/失败或者真/假,这无形中加大了我们注入的难度. SQL盲注的一种思路:采用where语句"真and真=真","真and假=假",把我们需要确定的条件放在and之后,当我们的猜测为真那么返回为真,猜测错误则返回为假.具体怎么应用呢?我们在实战中学习. DVWA实战: 1. 打开phpStudy或xampp,运行Apach和

(转)SQL盲注攻击的简单介绍

转:http://hi.baidu.com/duwang1104/item/65a6603056aee780c3cf2968 1 简介     1.1 普通SQL注入技术概述     目前没有对SQL注入技术的标准定义,微软中国技术中心从2个方面进行了描述[1]:     (1) 脚本注入式的攻击     (2) 恶意用户输入用来影响被执行的SQL脚本     根据Chris Anley的定义[2], 当一个攻击者通过在查询语句中插入一系列的SQL语句来将数据写入到应用程序中,这种方法就可以定义

SQL盲注攻击的简单介绍

1 简介     1.1 普通SQL注入技术概述     目前没有对SQL注入技术的标准定义,微软中国技术中心从2个方面进行了描述[1]:     (1) 脚本注入式的攻击     (2) 恶意用户输入用来影响被执行的SQL脚本 根据Chris Anley的定义[2], 当一个攻击者通过在查询语句中插入一系列的SQL语句来将数据写入到应用程序中,这种方法就可以定义成SQL注入.Stephen Kost[3]给出了这种攻击形式的另一个特征,“从一个数据库获得未经授权的访问和直接检索”,SQL注入攻

解决SQL盲注和跨站脚本攻击

今天测试用IBM的AppScan,对系统进行测试,发现了系统的安全漏洞,分别是SQL盲注和跨站脚本攻击,这两种安全隐患都是利用参数传递的漏洞趁机对系统进行攻击.截图如下: 解决方案(参考网上的例子):自己写一个 Filter,使用 Filter 来过滤浏览器发出的请求.对每个 post 请求的参数过滤一些关键字,替换成安全的,例如:< > ' " \ / # & .方法是实现一个自定义的 HttpServletRequestWrapper,然后在 Filter 里面调用它,替

sql盲注

在使用sql语句作为数据库操作方式的系统中,因为程序员处理传入参数不善而导致sql语句功能改变,从而利用这些改变对数据库甚至系统造成信息泄漏.系统破坏的问题成为sql注入. sql盲注是sql注入的一种,它通过传入特殊参数,配合系统接口的正常.异常状态返回,达到对系统以及数据库信息进行猜测的目的. 举个栗子: (1)探测到某个接口,内容如下: http://www.abc.com?a=1&b=2 返回值为 {"state":"1","msg&quo

sql注入攻击与防御第二版读书笔记二——SQL盲注利用

寻找并确认SQL盲注 强制产生通用错误 注入带副作用的查询 如 mssql waitfor delay '0:0:5' mysql sleep() 拆分与平衡 5 -> 7-2 常见SQL盲注场景 提交一个错误查询时会返回一个通用错误页面,而提交正确的查询会返回一个内容可被适度控制的页面 提交一个错误查询时会返回一个通用错误页面,而提交正确的查询会返回一个内容不可被控制的页面 提交一个错误查询时不会影响,但是可能基于时间或者其他副作用 SQL盲注技术 推断攻击技术 len() 判断长度 subs

第九届极客大挑战——Geek Chatroom(sql盲注)

引言:因为太想加入三叶草了,所以极客大挑战这段时间一直在努力的学习,原来还真没想到能在比赛中拿到排行榜第一的成绩,不过现在看来努力始终都是有回报的.但我依然还是比较菜啊-.-,最近却有很多伙伴加我好友,一来就叫我大佬,让我深感有愧-.-,既然都想看我wp,那我就挑几道题写写好了,口拙词劣还望见谅. 首先观察这个web应用的功能,可以任意留言,也可以搜索留言,当然我还用cansina扫描过网站,查看过源码,抓包查看过header等.没发现其他提示的情况下断定这就是个sql注入,可能存在的注入点呢,