cookie注入攻擊

cookie注入攻擊的測試地址：http://127.0.0.1/sqli/cookie.php。

發(fā)現URL中沒有GET參數，但是頁面返回正常，使用Burp Suite抓取數據包，發(fā)現cookie中存在id=1的參數，如圖56所示。

圖56　cookie數據

修改cookie中的id=1為id=1'，然后再次訪問該URL，發(fā)現頁面返回錯誤。接下來，分別修改cookie中id=1 and 1=1和id=1 and 1=2，再次訪問，判斷該頁面是否存在SQL漏洞，返回結果如圖57和圖58所示，得出cookie中的參數ID存在SQL注入的結論。

圖57　訪問id=1 and 1=1的結果

圖58　訪問id=1 and 1=2的結果

接著使用order by查詢字段，使用Union注入方法完成此次注入。

cookie注入代碼分析

通過$_COOKIE能獲取瀏覽器cookie中的數據，在cookie注入頁面中程序通過$_COOKIE獲取參數ID,然后直接將ID拼接到select語句中進行查詢，如果沒有結果，則將結果輸出到頁面，代碼如下所示。

<?php
$id = $_COOKIE['id'];
$value = '1';
setcookie("id","$value");
$con = mysqli_connect("localhost","root","root","test");
if(mysqli_connect_error())
{
    echo "連接失敗" . mysqli_error($con) ;
}
$result = mysqli_query($con,"select * from users where id=$id ");
if(!$result)
{
    printf("Error: %s\n", mysqli_error($con));
    exit();
}
$row = mysqli_fetch_array($result);
echo $row{'username'} ." : ". $row{'password'};
echo "<br>";
?>

這里可以看到，由于沒有過濾coookie中的參數ID且直接拼接到SQL語句中，所以存在SQL注入漏洞。當在cookie中添加id=1 union select 1,2,3–+時執(zhí)行的SQL語句為：

select * from users where `id`=1 union select 1,2,3--+

此時，SQL語句可以分為select * from users where `id`=1和union select 1,2,3兩條，利用第二條語句（Union查詢）就可以獲取數據庫中的數據。

以上就是Web網絡安全解析cookie注入攻擊原理的詳細內容，更多關于Web網絡安全cookie注入攻擊的資料請關注腳本之家其它相關文章！

最新評論