01SQL注入漏洞基础

安全测评漏洞分析报告安全测评漏洞分析报告一、漏洞描述通过对目标系统进行安全测评，发现以下漏洞：1. SQL注入漏洞：存在SQL注入漏洞，攻击者可以通过构造恶意的SQL语句，绕过应用程序的验证机制，直接操作数据库，获取敏感信息或进行非法操作。

2. XSS跨站脚本攻击漏洞：存在未对用户输入进行过滤和转义处理的情况，攻击者可以通过在页面中注入恶意的脚本，窃取用户的敏感信息，或进行其他恶意操作。

3. 文件上传漏洞：存在未对上传文件进行有效的验证和限制的情况，攻击者可以上传恶意的文件，包括木马程序或向量图等，进行远程执行恶意代码或窃取敏感信息。

二、风险分析1. SQL注入漏洞带来的风险：攻击者通过利用SQL注入漏洞，可以绕过用户身份验证，获取数据库中的敏感信息，如用户密码、用户私密数据等。

攻击者还可以通过修改数据库的内容，执行恶意操作，如删除数据、篡改数据等。

2. XSS跨站脚本攻击漏洞带来的风险：攻击者通过注入恶意的脚本代码，可以窃取用户的敏感信息，如用户的登录凭证、用户的个人信息等。

攻击者还可以通过恶意脚本代码进行钓鱼操作，如欺骗用户输入敏感信息或下载恶意软件等。

3. 文件上传漏洞带来的风险：攻击者通过上传恶意文件，可以在目标服务器上执行任意的恶意代码。

攻击者可以窃取服务器上的敏感信息，如用户私密数据、数据库信息等。

攻击者还可以利用上传的恶意文件，在服务器上进行远程控制，进行其他恶意操作。

三、修复建议1. SQL注入漏洞修复建议：应使用参数化查询和输入过滤来防止SQL注入攻击。

对于用户输入的数据，应使用数据库提供的参数化查询功能，避免将用户输入直接拼接到SQL语句中。

同时，还应对用户输入进行严格的过滤和校验，确保输入的数据符合预期的格式和范围。

2. XSS跨站脚本攻击漏洞修复建议：应对用户输入进行有效的过滤和转义处理。

在展示用户输入的内容时，应将特殊字符进行转义，避免被当做脚本执行。

同时，还应限制用户输入的规范，在输入框中禁止输入HTML标记和JavaScript代码。

sql注入盲注的原理
SQL注入是一种攻击技术，利用应用程序对用户输入的数据未经充分过滤或验证就直接拼接到SQL查询语句中的漏洞，从而使攻击者能够执行恶意数据库操作。

盲注是SQL注入的一种特殊形式，它在注入过程中无法直接获取数据库返回的具体数据，而只能通过观察页面的响应时差或者不同的错误信息来判断注入是否成功。

以下是盲注攻击的原理：
收集信息：攻击者首先需要识别目标应用程序中可能存在SQL注入漏洞的参数，如URL参数、表单输入等。

探测注入方式：通过插入特定的SQL语句，如' OR 1=1--，或者' OR 'a'='a'，来探测是否存在SQL注入漏洞。

如果应用程序返回了预期结果或者显示了异常错误信息，则可以认为存在注入漏洞。

盲注攻击：一旦确认注入漏洞存在，攻击者可以使用盲注技巧进行进一步攻击。

盲注通常涉及使用布尔逻辑和条件测试结构，来推断数据库中的信息。

攻击者通过构造不同的SQL语句，根据页面的响应时差或者错误信息的变化来判断特定条件是否成立。

数据库探测：攻击者可以使用盲注来探测数据库的结构，如表名、列名、数据库版本等。

通过不断提交特定的SQL语句并观察结果，可以逐步获取有关目标数据库的信息。

数据提取：利用盲注漏洞，攻击者也可以尝试从数据库中提取敏感数据，如用户名、密码等。

通过构造合适的SQL语句，攻击者可以获取目标数据并进行进一步的滥用。

为了防止SQL注入盲注攻击，开发人员需要采取安全编码实践，如使用参数化
查询、输入验证和过滤，以及最小权限原则等方法来保护应用程序免受此类攻击的影响。

SQL注入漏洞原理及分析Structured Query Language Injection Principle And Analysis ofVulnerability摘要：注入式攻击的根源在于，程序命令和用户数据（即用户输入）之间没有做到泾渭分明。

这使得攻击者有机会将程序命令当作用户输入的数据提交给We程序，以发号施令，为所欲为。

而且表面看起来注入攻击与一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对ＳＱＬ注入发出警告，如果管理员没查看IIS日志的习惯，很可能被渗透很长时间都不会发觉。

本文通过对SQL注入式攻击的常用攻击方法做了逐一的分析, 并针对每种攻击方法提出了检测和防范的措施。

文章还会对一些网站源代码进行分析，并介绍一些检测工具。

关键词：SQL注入攻击；防御方法；脚本攻击；网站安全；数据库安全。

随着数据库技术及B/S模式应用技术的发展，SQL注入攻击也成了黑客对数据库进行攻击的常用手段之一。

但是由于使用这种模式编写代码的程序员水平有限，相当大一部分程序员在编程的时候，没有考虑用户输入数据的合法性问题，使得应用程序存在安全隐患。

用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。

1.SQL注入攻击的背景在信息技术高速发展的今天，各种各样复杂的威胁网站技术也同时快速的“发展”，让人们防不胜防。

攻击者利用网络的安全漏洞进行各种恶意活动，如账号盗用、私密信息截获、带宽资源占用等。

严重破坏了网络的正常健康运行，危害十分严重。

网站威胁的目标定位有多个维度，可以是个人、公司、某种行业，甚至国家、地区、性别、种族、宗教等。

通常情况下攻击会采用多种形态，如病毒、蠕虫、特洛伊、间谍软件等或是他们的复合形态。

可以分为内部攻击和外部攻击两类：1）内部攻击主要来自信任网络，可能是用户执行了未授权访问或是无意中定制了恶意攻击；2）外部攻击主要是由于网络漏洞被利用或者用户受到恶意程序制定者的专一攻击。

代码审计中的SQL注⼊0x00 背景SQL注⼊是⼀种常见Web漏洞，所谓SQL注⼊，就是通过把SQL命令插⼊到Web表单提交或输⼊域名或页⾯请求的查询字符串，最终达到欺骗服务器执⾏恶意的SQL命令。

本⽂以代码审计的形式研究SQL注⼊原理、挖掘形式、防御⽅案及缺陷。

0x01 SQL注⼊产⽣原理SQL注⼊与其他常见Web漏洞⼀样，均是由外部可控的参数引起的。

由于程序没有经过任何过滤就将外部可控的参数拼接进⼊SQL语句，直接放⼊数据库执⾏，达到了欺骗服务器执⾏⿊客恶意SQL命令的⽬的。

在这⾥我们采⽤DVWA中low级别的源码学习SQL注⼊的产⽣原理。

<?phpif( isset( $_REQUEST[ 'Submit' ] ) ) {// Get input$id = $_REQUEST[ 'id' ];// Check database$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false) // Get resultswhile( $row = mysqli_fetch_assoc( $result ) ) {// Get values$first = $row["first_name"];$last = $row["last_name"];// Feedback for end userecho "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";}mysqli_close($GLOBALS["___mysqli_ston"]);}> 在这⾥我们注意到变量id是由⽤户进⾏掌控的变量，⽤户所输⼊的id值并没有进⾏任何的过滤，直接拼接到SQL语句中执⾏，我们重点关注这条SQL语句：$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 此处，如果我们所输⼊的变量id为1' or 1=1 or '1，那么此条SQL语句就变为了：$query = "SELECT first_name, last_name FROM users WHERE user_id = '1' or 1=1 or '1';"; 这样，数据库就会根据上⾯这条语句执⾏操作，这就是SQL注⼊漏洞的产⽣原理。

常见sql注⼊的类型这⾥只讲解sql注⼊漏洞的基本类型，代码分析将放在另外⼀篇帖⼦讲解⽬录最基础的注⼊-union注⼊攻击Boolean注⼊攻击-布尔盲注报错注⼊攻击时间注⼊攻击-时间盲注堆叠查询注⼊攻击⼆次注⼊攻击宽字节注⼊攻击base64注⼊攻击cookie注⼊攻击-http请求头参数注⼊XFF注⼊攻击-http请求头参数注⼊知道绝对路径的注⼊0x01最基础的注⼊-union注⼊攻击1. 判断是get型还是post型注⼊；2. 找到正确的闭合规则；3. order by 查询字段数；4. union select 1,2.....查看显⽰位是第⼏位，没有的话就试试把id=1的显⽰位让出来，让其等于id=-1；5. 第⼆、三位显⽰出来了，那么即可在这两个位置写⼊sql语句；6. 查询当前数据库,当前mysql⽤户 union select 1,user(),database()；7. 查询当前数据库⾥⾯的表 union select 1,2,group_concat(table_name) from information_schema.tables wheretable_schema="data_name";8. 查询到敏感表名user，继续查询表⾥⾯的字段 union select 1,2,group_concat(column_name) from information_schema.columnswhere table_name="user";9. 查询字段，例如“id”、"passwd"的内容 union select 1,id,passwd from user;10. 拿到⽤户、密码登⼊后台。

0x02 Boolean注⼊攻击-布尔盲注查看现象，能报错，但没有报错信息，正确查询也显⽰不了查询内容就属于布尔盲注，只存在两种状态，对或错；由页⾯的两种不同返回的状态来判定我们的闭合规则；为了⽅便，我们这⾥假设返回正确⽤“yes”，返回错误⽤“no”来表⽰这两种状态找到闭合规则后，我们在闭合规则⾥⾯ and 1=1 和 and 1=2 测试⼀下，看看最后返回是不是两种状态；布尔盲注要⽤到length()和substr()语句，⽤两种状态来猜解数据库、表名等的长度和正确字母；先⽤ and length(database())>2来猜数据库的长度，使⽤的是⼆分法；再⽤ and substr(database(),1,1)='t'来确定第⼀个字母，可⽤burp跑，26个字母,哪个字母返回yes则代表第⼀个字母就是它；and substr(database(),2,1)='t' 代表当前数据库的第⼆个字母；最后结合长度，成功的将数据库猜解出来；后⾯的操作跟union注⼊的步骤差不多了，只是sql语句写在上⽂的 database() 处。

SQL注⼊漏洞SQL注⼊：web程序对⽤户输⼊数据的合法性没有判断，前端传⼊后端的参数可控的，并且参数带⼊数据库查询，攻击者可通过构造SQL语句来实现对数据库的任意操作。

1.sql注⼊原理满⾜条件：参数⽤户可控：前端传⼊后端的内容⽤户可以控制参数带⼊数据库查询：传⼊的参数拼接到SQL语句，且带⼊数据库查询。

原因：⽤户输⼊的数据被SQL解释器执⾏2.注⼊漏洞分类1）数字型注⼊当输⼊的参数为整型时，如：ID、年龄、页码，若存在注⼊漏洞，则可认为是数字型测试：单引号 and语句（1 and 1=1 ， 1 and 1=2），若以上三个步骤全部满⾜，则可能存在SQL注⼊漏洞数字型注⼊常出现在ASP、PHP等弱类型语⾔。

强类型语⾔，若试图把⼀个字符串转换为int类型，会抛出异常，⽆法继续执⾏。

2）字符型注⼊当输⼊参数为字符串时，称为字符型。

数字型与字符型注⼊最⼤的区别：数字型不需要单引号闭合，⽽字符型⼀般使⽤单引号来闭合。

字符型注⼊最关键的是如何闭合SQL语句以及注释多余的代码。

注：数据库不同，字符串连接符不同， SQL server的连接符为“+”，Oracle连接符为“||”，MySQL连接符为空格3）SQL注⼊分类SQL只分为两类数字型和字符型。

其余注⼊都是在其两⼤类的不同展⽰形式，或者不同的展现位置。

由于数据库进⾏数据查询时，输⼊数据⼀般有两种：⼀种数字型，⼀种字符串型. 严格来说：数字也算字符串post注⼊：注⼊字段在post数据中（post请求中username字段存在注⼊漏洞）get注⼊：注⼊字段在get数据中cookie注⼊：注⼊字段在cookie数据中延时注⼊：使⽤数据库延时特性注⼊（sleep函数）搜索注⼊：注⼊处为搜索的地点base64注⼊：注⼊字符串需要经过base64加密3.常见的数据库注⼊数据库注⼊的利⽤⽅式：查询数据、读写⽂件、执⾏⽂件mysqlmysql数据库 5.0之后，默认在数据库存放 information_schema 的数据库，在该库中存在三个表名schemata 表⽰存储⽤户创建的所有数据库的库名tables 。