=============安全性篇目錄==============

畢業(yè)開(kāi)始從事winfrm到今年轉(zhuǎn)到 web ，在碼農(nóng)屆已經(jīng)足足混了快接近3年了，但是對(duì)安全方面的知識(shí)依舊薄弱，事實(shí)上是沒(méi)機(jī)會(huì)接觸相關(guān)開(kāi)發(fā)……必須的各種借口。這幾天把sql注入的相關(guān)知識(shí)整理了下，希望大家多多提意見(jiàn)。

（對(duì)于sql注入的攻防，我只用過(guò)簡(jiǎn)單拼接字符串的注入及參數(shù)化查詢(xún)，可以說(shuō)沒(méi)什么好經(jīng)驗(yàn)，為避免后知后覺(jué)的犯下大錯(cuò)，專(zhuān)門(mén)查看大量前輩們的心得，這方面的資料頗多，將其精簡(jiǎn)出自己覺(jué)得重要的，就成了該文）

下面的程序方案是采用 ASP.NET + MSSQL，其他技術(shù)在設(shè)置上會(huì)有少許不同。
示例程序下載：SQL注入攻防入門(mén)詳解_示例

什么是SQL注入（SQL Injection）
所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁(yè)面請(qǐng)求的查詢(xún)字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。在某些表單中，用戶(hù)輸入的內(nèi)容直接用來(lái)構(gòu)造（或者影響）動(dòng)態(tài)SQL命令，或作為存儲(chǔ)過(guò)程的輸入?yún)?shù)，這類(lèi)表單特別容易受到SQL注入式攻擊。

嘗嘗SQL注入

1. 一個(gè)簡(jiǎn)單的登錄頁(yè)面
關(guān)鍵代碼：（詳細(xì)見(jiàn)下載的示例代碼）


方法中userName和 password 是沒(méi)有經(jīng)過(guò)任何處理，直接拿前端傳入的數(shù)據(jù)，這樣拼接的SQL會(huì)存在注入漏洞。（帳戶(hù)：admin 123456）
1) 輸入正常數(shù)據(jù)，效果如圖：

合并的SQL為：
SELECT COUNT(*) FROM Login WHERE UserName='admin' AND Password='123456'

2) 輸入注入數(shù)據(jù)：
如圖，即用戶(hù)名為：用戶(hù)名：admin’—，密碼可隨便輸入

合并的SQL為：
SELECT COUNT(*) FROM Login WHERE UserName='admin'-- Password='123'
因?yàn)閁serName值中輸入了“--”注釋符，后面語(yǔ)句被省略而登錄成功。（常常的手法：前面加上'; ' (分號(hào)，用于結(jié)束前一條語(yǔ)句)，后邊加上'--' (用于注釋后邊的語(yǔ)句)）

2. 上面是最簡(jiǎn)單的一種SQL注入，常見(jiàn)的注入語(yǔ)句還有：


b) 更高級(jí)的攻擊，將上面的注入SQL進(jìn)行“HEX編碼”，從而避免程序的關(guān)鍵字檢查、腳本轉(zhuǎn)義等，通過(guò)EXEC執(zhí)行


c) 批次刪除數(shù)據(jù)庫(kù)被注入的腳本


d) 我如何得到“HEX編碼”？

開(kāi)始不知道HEX是什么東西，后面查了是“十六進(jìn)制”，網(wǎng)上已經(jīng)給出兩種轉(zhuǎn)換方式：（注意轉(zhuǎn)換的時(shí)候不要加入十六進(jìn)制的標(biāo)示符 ’0x’ ）

Ø 在線轉(zhuǎn)換 （TRANSLATOR, BINARY），進(jìn)入……
Ø C#版的轉(zhuǎn)換，進(jìn)入……

防止SQL注入

1. 數(shù)據(jù)庫(kù)權(quán)限控制，只給訪問(wèn)數(shù)據(jù)庫(kù)的web應(yīng)用功能所需的最低權(quán)限帳戶(hù)。
如MSSQL中一共存在8種權(quán)限：sysadmin, dbcreator, diskadmin, processadmin, serveradmin, setupadmin, securityadmin, bulkadmin。
2. 自定義錯(cuò)誤信息，首先我們要屏蔽服務(wù)器的詳細(xì)錯(cuò)誤信息傳到客戶(hù)端。
在 ASP.NET 中，可通過(guò)web.config配置文件的<customErrors>節(jié)點(diǎn)設(shè)置：

On	指定啟用自定義錯(cuò)誤。如果未指定defaultRedirect，用戶(hù)將看到一般性錯(cuò)誤。
Off	指定禁用自定義錯(cuò)誤。這允許顯示標(biāo)準(zhǔn)的詳細(xì)錯(cuò)誤。
RemoteOnly	指定僅向遠(yuǎn)程客戶(hù)端顯示自定義錯(cuò)誤并且向本地主機(jī)顯示 ASP.NET 錯(cuò)誤。這是默認(rèn)值。

設(shè)置為<customErrors mode="Off">：

3. 把危險(xiǎn)的和不必要的存儲(chǔ)過(guò)程刪除

xp_：擴(kuò)展存儲(chǔ)過(guò)程的前綴，SQL注入攻擊得手之后，攻擊者往往會(huì)通過(guò)執(zhí)行xp_cmdshell之類(lèi)的擴(kuò)展存儲(chǔ)過(guò)程，獲取系統(tǒng)信息，甚至控制、破壞系統(tǒng)。

xp_cmdshell	能執(zhí)行dos命令，通過(guò)語(yǔ)句sp_dropextendedproc刪除， 不過(guò)依然可以通過(guò)sp_addextendedproc來(lái)恢復(fù)，因此最好刪除或改名xplog70.dll（sql server 2000、windows7） xpsql70.dll(sqlserer 7.0)
xp_fileexist	用來(lái)確定一個(gè)文件是否存在
xp_getfiledetails	可以獲得文件詳細(xì)資料
xp_dirtree	可以展開(kāi)你需要了解的目錄，獲得所有目錄深度
Xp_getnetname	可以獲得服務(wù)器名稱(chēng)
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite	可以訪問(wèn)注冊(cè)表的存儲(chǔ)過(guò)程
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetPropertySp_OAStop	如果你不需要請(qǐng)丟棄OLE自動(dòng)存儲(chǔ)過(guò)程

4. 非參數(shù)化SQL與參數(shù)化SQL
1) 非參數(shù)化（動(dòng)態(tài)拼接SQL）
a) 檢查客戶(hù)端腳本：若使用.net，直接用System.Net.WebUtility.HtmlEncode(string)將輸入值中包含的《HTML特殊轉(zhuǎn)義字符》轉(zhuǎn)換掉。
b) 類(lèi)型檢查：對(duì)接收數(shù)據(jù)有明確要求的，在方法內(nèi)進(jìn)行類(lèi)型驗(yàn)證。如數(shù)值型用int.TryParse()，日期型用DateTime.TryParse() ，只能用英文或數(shù)字等。
c) 長(zhǎng)度驗(yàn)證：要進(jìn)行必要的注入，其語(yǔ)句也是有長(zhǎng)度的。所以如果你原本只允許輸入10字符，那么嚴(yán)格控制10個(gè)字符長(zhǎng)度，一些注入語(yǔ)句就沒(méi)辦法進(jìn)行。
d) 使用枚舉：如果只有有限的幾個(gè)值，就用枚舉。
e) 關(guān)鍵字過(guò)濾：這個(gè)門(mén)檻比較高，因?yàn)楦鱾€(gè)數(shù)據(jù)庫(kù)存在關(guān)鍵字，內(nèi)置函數(shù)的差異，所以對(duì)編寫(xiě)此函數(shù)的功底要求較高。如公司或個(gè)人有積累一個(gè)比較好的通用過(guò)濾函數(shù)還請(qǐng)留言分享下，學(xué)習(xí)學(xué)習(xí)，謝謝！
這邊提供一個(gè)關(guān)鍵字過(guò)濾參考方案(MSSQL)：


優(yōu)點(diǎn)：寫(xiě)法相對(duì)簡(jiǎn)單，網(wǎng)絡(luò)傳輸量相對(duì)參數(shù)化拼接SQL小
缺點(diǎn)：
a) 對(duì)于關(guān)鍵字過(guò)濾，常常“顧此失彼”，如漏掉關(guān)鍵字，系統(tǒng)函數(shù)，對(duì)于HEX編碼的SQL語(yǔ)句沒(méi)辦法識(shí)別等等，并且需要針對(duì)各個(gè)數(shù)據(jù)庫(kù)封裝函數(shù)。
b) 無(wú)法滿(mǎn)足需求：用戶(hù)本來(lái)就想發(fā)表包含這些過(guò)濾字符的數(shù)據(jù)。
c) 執(zhí)行拼接的SQL浪費(fèi)大量緩存空間來(lái)存儲(chǔ)只用一次的查詢(xún)計(jì)劃。服務(wù)器的物理內(nèi)存有限，SQLServer的緩存空間也有限。有限的空間應(yīng)該被充分利用。
2) 參數(shù)化查詢(xún)（Parameterized Query）
a) 檢查客戶(hù)端腳本，類(lèi)型檢查，長(zhǎng)度驗(yàn)證，使用枚舉，明確的關(guān)鍵字過(guò)濾這些操作也是需要的。他們能盡早檢查出數(shù)據(jù)的有效性。
b) 參數(shù)化查詢(xún)?cè)恚涸谑褂脜?shù)化查詢(xún)的情況下，數(shù)據(jù)庫(kù)服務(wù)器不會(huì)將參數(shù)的內(nèi)容視為SQL指令的一部份來(lái)處理，而是在數(shù)據(jù)庫(kù)完成 SQL 指令的編譯后，才套用參數(shù)運(yùn)行，因此就算參數(shù)中含有具有損的指令，也不會(huì)被數(shù)據(jù)庫(kù)所運(yùn)行。
c) 所以在實(shí)際開(kāi)發(fā)中，入口處的安全檢查是必要的，參數(shù)化查詢(xún)應(yīng)作為最后一道安全防線。
優(yōu)點(diǎn)：
Ø 防止SQL注入(使單引號(hào)、分號(hào)、注釋符、xp_擴(kuò)展函數(shù)、拼接SQL語(yǔ)句、EXEC、SELECT、UPDATE、DELETE等SQL指令無(wú)效化)
Ø 參數(shù)化查詢(xún)能強(qiáng)制執(zhí)行類(lèi)型和長(zhǎng)度檢查。
Ø 在MSSQL中生成并重用查詢(xún)計(jì)劃，從而提高查詢(xún)效率（執(zhí)行一條SQL語(yǔ)句，其生成查詢(xún)計(jì)劃將消耗大于50%的時(shí)間）
缺點(diǎn)：
Ø 不是所有數(shù)據(jù)庫(kù)都支持參數(shù)化查詢(xún)。目前Access、SQL Server、MySQL、SQLite、Oracle等常用數(shù)據(jù)庫(kù)支持參數(shù)化查詢(xún)。

疑問(wèn)：參數(shù)化如何“批量更新”數(shù)據(jù)庫(kù)。
a) 通過(guò)在參數(shù)名上增加一個(gè)計(jì)數(shù)來(lái)區(qū)分開(kāi)多個(gè)參數(shù)化語(yǔ)句拼接中的同名參數(shù)。
EG：


b) 通過(guò)MSSQL 2008的新特性：表值參數(shù)，將C#中的整個(gè)表當(dāng)參數(shù)傳遞給存儲(chǔ)過(guò)程，由SQL做邏輯處理。注意C#中參數(shù)設(shè)置parameter.SqlDbType = System.Data.SqlDbType.Structured; 詳細(xì)請(qǐng)查看……
疑慮：有部份的開(kāi)發(fā)人員可能會(huì)認(rèn)為使用參數(shù)化查詢(xún)，會(huì)讓程序更不好維護(hù)，或者在實(shí)現(xiàn)部份功能上會(huì)非常不便，然而，使用參數(shù)化查詢(xún)?cè)斐傻念~外開(kāi)發(fā)成本，通常都遠(yuǎn)低于因?yàn)镾QL注入攻擊漏洞被發(fā)現(xiàn)而遭受攻擊，所造成的重大損失。
另外：想驗(yàn)證重用查詢(xún)計(jì)劃的同學(xué)，可以使用下面兩段輔助語(yǔ)法

3)   參數(shù)化查詢(xún)示例

效果如圖：

參數(shù)化關(guān)鍵代碼：

5. 存儲(chǔ)過(guò)程

存儲(chǔ)過(guò)程（Stored Procedure）是在大型數(shù)據(jù)庫(kù)系統(tǒng)中，一組為了完成特定功能的SQL 語(yǔ)句集，經(jīng)編譯后存儲(chǔ)在數(shù)據(jù)庫(kù)中，用戶(hù)通過(guò)指定存儲(chǔ)過(guò)程的名字并給出參數(shù)（如果該存儲(chǔ)過(guò)程帶有參數(shù)）來(lái)執(zhí)行它。

優(yōu)點(diǎn)：

a) 安全性高，防止SQL注入并且可設(shè)定只有某些用戶(hù)才能使用指定存儲(chǔ)過(guò)程。

b) 在創(chuàng)建時(shí)進(jìn)行預(yù)編譯，后續(xù)的調(diào)用不需再重新編譯。

c) 可以降低網(wǎng)絡(luò)的通信量。存儲(chǔ)過(guò)程方案中用傳遞存儲(chǔ)過(guò)程名來(lái)代替SQL語(yǔ)句。

缺點(diǎn)：

a) 非應(yīng)用程序內(nèi)聯(lián)代碼，調(diào)式麻煩。

b) 修改麻煩，因?yàn)橐粩嗟那袚Q開(kāi)發(fā)工具。（不過(guò)也有好的一面，一些易變動(dòng)的規(guī)則做到存儲(chǔ)過(guò)程中，如變動(dòng)就不需要重新編譯應(yīng)用程序）

c) 如果在一個(gè)程序系統(tǒng)中大量的使用存儲(chǔ)過(guò)程，到程序交付使用的時(shí)候隨著用戶(hù)需求的增加會(huì)導(dǎo)致數(shù)據(jù)結(jié)構(gòu)的變化，接著就是系統(tǒng)的相關(guān)問(wèn)題了，最后如果用戶(hù)想維護(hù)該系統(tǒng)可以說(shuō)是很難很難（eg：沒(méi)有VS的查詢(xún)功能）。

演示請(qǐng)下載示例程序，關(guān)鍵代碼為：


如果在存儲(chǔ)過(guò)程中SQL語(yǔ)法很復(fù)雜需要根據(jù)邏輯進(jìn)行拼接，這時(shí)是否還具有放注入的功能？

答：MSSQL中可以通過(guò) EXEC 和sp_executesql動(dòng)態(tài)執(zhí)行拼接的sql語(yǔ)句，但sp_executesql支持替換 Transact-SQL 字符串中指定的任何參數(shù)值， EXECUTE 語(yǔ)句不支持。所以只有使用sp_executesql方式才能啟到參數(shù)化防止SQL注入。

關(guān)鍵代碼：（詳細(xì)見(jiàn)示例）

a) sp_executesql



b) EXECUTE（注意sql中拼接字符，對(duì)于字符參數(shù)需要額外包一層單引號(hào)，需要輸入兩個(gè)單引號(hào)來(lái)標(biāo)識(shí)sql中的一個(gè)單引號(hào)）


注入截圖如下：

     

6. 專(zhuān)業(yè)的SQL注入工具及防毒軟件
情景1
A：“丫的，又中毒了……”
B：“我看看，你這不是裸機(jī)在跑嗎？”
電腦上至少也要裝一款殺毒軟件或木馬掃描軟件，這樣可以避免一些常見(jiàn)的侵入。比如開(kāi)篇提到的SQL創(chuàng)建windows帳戶(hù)，就會(huì)立馬報(bào)出警報(bào)。

情景2
A：“終于把網(wǎng)站做好了，太完美了，已經(jīng)檢查過(guò)沒(méi)有漏洞了！”
A：“網(wǎng)站怎么被黑了，怎么入侵的？？？”
公司或個(gè)人有財(cái)力的話(huà)還是有必要購(gòu)買(mǎi)一款專(zhuān)業(yè)SQL注入工具來(lái)驗(yàn)證下自己的網(wǎng)站，這些工具畢竟是專(zhuān)業(yè)的安全人員研發(fā)，在安全領(lǐng)域都有自己的獨(dú)到之處。SQL注入工具介紹：10個(gè)SQL注入工具

7. 額外小知識(shí)：LIKE中的通配符
盡管這個(gè)不屬于SQL注入，但是其被惡意使用的方式是和SQL注入類(lèi)似的。

%	包含零個(gè)或多個(gè)字符的任意字符串。
_	任何單個(gè)字符。
[]	指定范圍（例如 [a-f]）或集合（例如 [abcdef]）內(nèi)的任何單個(gè)字符。
[^]	不在指定范圍（例如 [^a - f]）或集合（例如 [^abcdef]）內(nèi)的任何單個(gè)字符。

在模糊查詢(xún)LIKE中，對(duì)于輸入數(shù)據(jù)中的通配符必須轉(zhuǎn)義，否則會(huì)造成客戶(hù)想查詢(xún)包含這些特殊字符的數(shù)據(jù)時(shí)，這些特殊字符卻被解析為通配符。不與 LIKE 一同使用的通配符將解釋為常量而非模式。

注意使用通配符的索引性能問(wèn)題：

a) like的第一個(gè)字符是'%'或'_'時(shí)，為未知字符不會(huì)使用索引, sql會(huì)遍歷全表。

b) 若通配符放在已知字符后面，會(huì)使用索引。

網(wǎng)上有這樣的說(shuō)法，不過(guò)我在MSSQL中使用 ctrl+L 執(zhí)行語(yǔ)法查看索引使用情況卻都沒(méi)有使用索引，可能在別的數(shù)據(jù)庫(kù)中會(huì)使用到索引吧……

截圖如下：

有兩種將通配符轉(zhuǎn)義為普通字符的方法：

符號(hào)	含義
LIKE '5[%]'	5%
LIKE '5%'	5 后跟 0 個(gè)或多個(gè)字符的字符串
LIKE '[_]n'	_n
LIKE '_n'	an, in, on (and so on)
LIKE '[a-cdf]'	a、b、c、d 或 f
LIKE '[-acdf]'	-、a、c、d 或 f
LIKE '[ [ ]'	[
LIKE ']'	]   （右括號(hào)不需要轉(zhuǎn)義）

結(jié)束語(yǔ)：感謝你耐心的觀看。恭喜你， SQL安全攻防你已經(jīng)入門(mén)了……

原文 http://www.cnblogs.com/heyuquan/archive/2012/10/31/2748577.html

最新評(píng)論