原文地址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html
1.1.1 摘要
日前�����,國內(nèi)最大的程序員社區(qū)CSDN網(wǎng)站的用戶數(shù)據(jù)庫被黑客公開發(fā)布����,600萬用戶的登錄名及密碼被公開泄露,隨后又有多家網(wǎng)站的用戶密碼被流傳于網(wǎng)絡(luò)�����,連日來引發(fā)眾多網(wǎng)民對自己賬號���、密碼等互聯(lián)網(wǎng)信息被盜取的普遍擔憂。
網(wǎng)絡(luò)安全成為了現(xiàn)在互聯(lián)網(wǎng)的焦點����,這也恰恰觸動了每一位用戶的神經(jīng)�����,由于設(shè)計的漏洞導(dǎo)致了不可收拾的惡果����,驗證了一句話“出來混的�����,遲早是要還的”�,所以我想通過專題博文介紹一些常用的攻擊技術(shù)和防范策略。
SQL Injection也許很多人都知道或者使用過����,如果沒有了解或完全沒有聽過也沒有關(guān)系,因為接下來我們將介紹SQL Injection���。
1.1.2 正文
SQL Injection:就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串��,最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令��。
具體來說����,它是利用現(xiàn)有應(yīng)用程序,將(惡意)的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力���,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫��,而不是按照設(shè)計者意圖去執(zhí)行SQL語句����。
首先讓我們了解什么時候可能發(fā)生SQL Injection���。
假設(shè)我們在瀏覽器中輸入URL www.�����,由于它只是對頁面的簡單請求無需對數(shù)據(jù)庫動進行動態(tài)請求�����,所以它不存在SQL
Injection�����,當我們輸入www.?testid=23時����,我們在URL中傳遞變量testid�����,并且提供值為23����,由于它是對數(shù)據(jù)庫進行動態(tài)查詢的請求(其中?testid=23表示數(shù)據(jù)庫查詢變量),所以我們可以該URL中嵌入惡意SQL語句����。
現(xiàn)在我們知道SQL Injection適用場合,接下來我們將通過具體的例子來說明SQL Injection的應(yīng)用���,這里我們以pubs數(shù)據(jù)庫作為例子��。
我們通過Web頁面查詢job表中的招聘信息�����,job表的設(shè)計如下:
圖1 jobs表
接著讓我們實現(xiàn)Web程序�,它根據(jù)工作Id(job_id)來查詢相應(yīng)的招聘信息��,示意代碼如下:
/// <summary>
/// Handles the Load event of the Page control.
/// </summary>
/// <param name="sender">The source of the event.</param>
/// <param name="e">The <see cref="System.EventArgs"/> instance containing the event data.</param>
protected void Page_Load(object sender, EventArgs e)
{
if (!IsPostBack)
{
// Gets departmentId from http request.
string queryString = Request.QueryString["departmentID"];
if (!string.IsNullOrEmpty(queryString))
{
// Gets data from database.
gdvData.DataSource = GetData(queryString.Trim());
// Binds data to gridview.
gdvData.DataBind();
}
}
}
現(xiàn)在我們已經(jīng)完成了Web程序,接下來讓我們查詢相應(yīng)招聘信息吧��。
圖2 job表查詢結(jié)果
如圖所示���,我們要查詢數(shù)據(jù)庫中工作Id值為1的工作信息���,而且在頁面顯示了該工作的Id,Description�,Min Lvl和Max Lvl等信息。
現(xiàn)在要求我們實現(xiàn)根據(jù)工作Id查詢相應(yīng)工作信息的功能�����,想必大家很快可以給出解決方案����,SQL示意代碼如下:
SELECT job_id, job_desc, min_lvl, max_lvl
FROM jobs
WHERE (job_id = 1)
假設(shè)現(xiàn)在要求我們獲取Department表中的所有數(shù)據(jù),而且必須保留WHERE語句����,那我們只要確保WHERE恒真就OK了,SQL示意代碼如下:
SELECT job_id, job_desc, min_lvl, max_lvl
FROM jobs
WHERE (job_id = 1) OR 1 = 1
上面我們使得WHERE恒真�,所以該查詢中WHERE已經(jīng)不起作用了,其查詢結(jié)果等同于以下SQL語句。
SELECT job_id, job_desc, min_lvl, max_lvl
FROM jobs
SQL查詢代碼實現(xiàn)如下:
string sql1 = string.Format(
"SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id='{0}'", jobId);
現(xiàn)在我們要通過頁面請求的方式����,讓數(shù)據(jù)庫執(zhí)行我們的SQL語句,我們要在URL中嵌入惡意表達式1=1(或2=2等等)����,如下URL所示:
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or'1'='1
等效SQL語句如下:
SELECT job_id, job_desc, min_lvl, max_lvl
FROM jobs
WHERE job_id = '1' OR '1' = 1'
圖3 job表查詢結(jié)果
現(xiàn)在我們把job表中的所有數(shù)據(jù)都查詢出來了�����,僅僅通過一個簡單的恒真表達式就可以進行了一次簡單的攻擊���。
雖然我們把job表的數(shù)據(jù)都查詢出來了�����,但數(shù)據(jù)并沒有太大的價值�����,由于我們把該表臨時命名為job表�,所以接著我們要找出該表真正表名����。
首先我們假設(shè)表名就是job����,然后輸入以下URL:
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or
1=(select count(*) from job)--
等效SQL語句如下:
SELECT job_id, job_desc, min_lvl, max_lvl
FROM jobs
WHERE job_id='1'or 1=(select count(*) from job) --'
圖4 job表查詢結(jié)果
當我們輸入了以上URL后�����,結(jié)果服務(wù)器返回我們錯誤信息��,這證明了我們的假設(shè)是錯誤的�����,那我們該感覺到挫敗嗎�����?不����,其實這里返回了很多信息,首先它證明了該表名不是job���,而且它還告訴我們后臺數(shù)據(jù)庫是SQL
Server���,不是MySQL或Oracle�����,這也設(shè)計一個漏洞把錯誤信息直接返回給了用戶��。
接下假定表名是jobs����,然后輸入以下URL:
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or1=(select
count(*) from jobs) --
等效SQL語句如下:
SELECT job_id, job_desc, min_lvl, max_lvl
FROM jobs
WHERE job_id='1'or 1=(select count(*) from jobs) --'
圖5 job表查詢結(jié)果
現(xiàn)在證明了該表名是jobs���,這可以邁向成功的一大步,由于我們知道了表名就可以對該表進行增刪改操作了�����,而且我們還可以猜測出更多的表對它們作出修改�,一旦修改成功那么這將是一場災(zāi)難。
現(xiàn)在大家已經(jīng)對SQL Injection的攻擊有了初步的了解了��,接下讓我們學習如何防止SQL Injection�。
總的來說有以下幾點:
1.永遠不要信任用戶的輸入,要對用戶的輸入進行校驗�����,可以通過正則表達式,或限制長度�,對單引號和雙"-"進行轉(zhuǎn)換等。
2.永遠不要使用動態(tài)拼裝SQL�����,可以使用參數(shù)化的SQL或者直接使用存儲過程進行數(shù)據(jù)查詢存取���。
3.永遠不要使用管理員權(quán)限的數(shù)據(jù)庫連接���,為每個應(yīng)用使用單獨的權(quán)限有限的數(shù)據(jù)庫連接。
4.不要把機密信息明文存放���,請加密或者hash掉密碼和敏感的信息���。
5.應(yīng)用的異常信息應(yīng)該給出盡可能少的提示,最好使用自定義的錯誤信息對原始錯誤信息進行包裝�����,把異常信息存放在獨立的表中��。
通過正則表達校驗用戶輸入
首先我們可以通過正則表達式校驗用戶輸入數(shù)據(jù)中是包含:對單引號和雙"-"進行轉(zhuǎn)換等字符。
然后繼續(xù)校驗輸入數(shù)據(jù)中是否包含SQL語句的保留字�,如:WHERE,EXEC��,DROP等���。
現(xiàn)在讓我們編寫正則表達式來校驗用戶的輸入吧���,正則表達式定義如下:
private static readonly Regex RegSystemThreats =
new Regex(@"\s?or\s*|\s?;\s?|\s?drop\s|\s?grant\s|^'|\s?--|\s?union\s|\s?delete\s|\s?truncate\s|" +
@"\s?sysobjects\s?|\s?xp_.*?|\s?syslogins\s?|\s?sysremote\s?|\s?sysusers\s?|\s?sysxlogins\s?|\s?sysdatabases\s?|\s?aspnet_.*?|\s?exec\s?",
RegexOptions.Compiled | RegexOptions.IgnoreCase);
上面我們定義了一個正則表達式對象RegSystemThreats,并且給它傳遞了校驗用戶輸入的正則表達式����。
由于我們已經(jīng)完成了對用戶輸入校驗的正則表達式了���,接下來就是通過該正則表達式來校驗用戶輸入是否合法了��,由于.NET已經(jīng)幫我們實現(xiàn)了判斷字符串是否匹配正則表達式的方法——IsMatch()�,所以我們這里只需給傳遞要匹配的字符串就OK了����。
示意代碼如下:
/// <summary>
/// A helper method to attempt to discover [known] SqlInjection attacks.
/// </summary>
/// <param name="whereClause">string of the whereClause to check</param>
/// <returns>true if found, false if not found </returns>
public static bool DetectSqlInjection(string whereClause)
{
return RegSystemThreats.IsMatch(whereClause);
}
/// <summary>
/// A helper method to attempt to discover [known] SqlInjection attacks.
/// </summary>
/// <param name="whereClause">string of the whereClause to check</param>
/// <param name="orderBy">string of the orderBy clause to check</param>
/// <returns>true if found, false if not found </returns>
public static bool DetectSqlInjection(string whereClause, string orderBy)
{
return RegSystemThreats.IsMatch(whereClause) || RegSystemThreats.IsMatch(orderBy);
}
現(xiàn)在我們完成了校驗用的正則表達式,接下來讓我們需要在頁面中添加校驗功能�����。 /// <summary>
/// Handles the Load event of the Page control.
/// </summary>
/// <param name="sender">The source of the event.</param>
/// <param name="e">The <see cref="System.EventArgs"/> instance containing the event data.</param>
protected void Page_Load(object sender, EventArgs e)
{
if (!IsPostBack)
{
// Gets departmentId from http request.
string queryString = Request.QueryString["jobId"];
if (!string.IsNullOrEmpty(queryString))
{
if (!DetectSqlInjection(queryString) && !DetectSqlInjection(queryString, queryString))
{
// Gets data from database.
gdvData.DataSource = GetData(queryString.Trim());
// Binds data to gridview.
gdvData.DataBind();
}
else
{
throw new Exception("Please enter correct field");
}
}
}
}
當我們再次執(zhí)行以下URL時,被嵌入的惡意語句被校驗出來了��,從而在一定程度上防止了SQL Injection���。
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or'1'='1
圖6 添加校驗查詢結(jié)果
但使用正則表達式只能防范一些常見或已知SQL Injection方式��,而且每當發(fā)現(xiàn)有新的攻擊方式時��,都要對正則表達式進行修改�,這可是吃力不討好的工作�。
通過參數(shù)化存儲過程進行數(shù)據(jù)查詢存取
首先我們定義一個存儲過程根據(jù)jobId來查找jobs表中的數(shù)據(jù)。
-- =============================================
-- Author: JKhuang
-- Create date: 12/31/2011
-- Description: Get data from jobs table by specified jobId.
-- =============================================
ALTER PROCEDURE [dbo].[GetJobs]
-- ensure that the id type is int
@jobId INT
AS
BEGIN
-- SET NOCOUNT ON;
SELECT job_id, job_desc, min_lvl, max_lvl
FROM dbo.jobs
WHERE job_id = @jobId
GRANT EXECUTE ON GetJobs TO pubs
END
接著修改我們的Web程序使用參數(shù)化的存儲過程進行數(shù)據(jù)查詢�����。
using (var com = new SqlCommand("GetJobs", con))
{
// Uses store procedure.
com.CommandType = CommandType.StoredProcedure;
// Pass jobId to store procedure.
com.Parameters.Add("@jobId", SqlDbType.Int).Value = jobId;
com.Connection.Open();
gdvData.DataSource = com.ExecuteScalar();
gdvData.DataBind();
}
現(xiàn)在我們通過參數(shù)化存儲過程進行數(shù)據(jù)庫查詢����,這里我們把之前添加的正則表達式校驗注釋掉。
圖7 存儲過程查詢結(jié)果
大家看到當我們試圖在URL中嵌入惡意的SQL語句時�����,參數(shù)化存儲過程已經(jīng)幫我們校驗出傳遞給數(shù)據(jù)庫的變量不是整形,而且使用存儲過程的好處是我們還可以很方便地控制用戶權(quán)限�����,我們可以給用戶分配只讀或可讀寫權(quán)限���。
但我們想想真的有必要每個數(shù)據(jù)庫操作都定義成存儲過程嗎��?而且那么多的存儲過程也不利于日常的維護�。
參數(shù)化SQL語句
還是回到之前動態(tài)拼接SQL基礎(chǔ)上����,我們知道一旦有惡意SQL代碼傳遞過來,而且被拼接到SQL語句中就會被數(shù)據(jù)庫執(zhí)行�,那么我們是否可以在拼接之前進行判斷呢?——命名SQL參數(shù)�。
string sql1 = string.Format("SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id = @jobId");
using (var con = new SqlConnection(ConfigurationManager.ConnectionStrings["SQLCONN1"].ToString()))
using (var com = new SqlCommand(sql1, con))
{
// Pass jobId to sql statement.
com.Parameters.Add("@jobId", SqlDbType.Int).Value = jobId;
com.Connection.Open();
gdvData.DataSource = com.ExecuteReader();
gdvData.DataBind();
}
圖8 參數(shù)化SQL查詢結(jié)果
這樣我們就可以避免每個數(shù)據(jù)庫操作(尤其一些簡單數(shù)據(jù)庫操作)都編寫存儲過程了�����,而且當用戶具有數(shù)據(jù)庫中jobs表的讀權(quán)限才可以執(zhí)行該SQL語句����。
添加新架構(gòu)
數(shù)據(jù)庫架構(gòu)是一個獨立于數(shù)據(jù)庫用戶的非重復(fù)命名空間���,您可以將架構(gòu)視為對象的容器(類似于.NET中的命名空間)。
首先我們右擊架構(gòu)文件夾�,然后新建架構(gòu)。
圖9 添加HumanResource架構(gòu)
上面我們完成了在pubs數(shù)據(jù)庫中添加HumanResource架構(gòu)����,接著把jobs表放到HumanResource架構(gòu)中。
圖 10 修改jobs表所屬的架構(gòu)
當我們再次執(zhí)行以下SQL語句時��,SQL Server提示jobs無效���,這是究竟什么原因呢����?之前還運行的好好的�����。
SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs
圖 11 查詢輸出
當我們輸入完整的表名“架構(gòu)名.對象名”(HumanResource.jobs)時����,SQL語句執(zhí)行成功。 SELECT job_id, job_desc, min_lvl, max_lvl FROM HumanResource.jobs
為什么之前我們執(zhí)行SQL語句時不用輸入完整表名dbo.jobs也可以執(zhí)行呢?
這是因為默認的架構(gòu)(default schema)是dbo�,當只輸入表名時,Sql Server會自動加上當前登錄用戶的默認的架構(gòu)(default
schema)——dbo�。
由于我們使用自定義架構(gòu),這也降低了數(shù)據(jù)庫表名被猜測出來的可能性��。
LINQ to SQL
前面使用了存儲過程和參數(shù)化查詢��,這兩種方法都是非常常用的���,而針對于.NET
Framework的ORM框架也有很多����,如:NHibernate�,Castle和Entity Framework,這里我們使用比較簡單LINQ to SQL����。
圖 12 添加jobs.dbml文件
var dc = new pubsDataContext();
int result;
// Validates jobId is int or not.
if (int.TryParse(jobId, out result))
{
gdvData.DataSource = dc.jobs.Where(p => p.job_id == result);
gdvData.DataBind();
}
相比存儲過程和參數(shù)化查詢,LINQ to SQL我們只需添加jobs.dbml��,然后使用LINQ對表進行查詢就OK了����。
1.1.3 總結(jié)
我們在本文中介紹了SQL Injection的基本原理,通過介紹什么是SQL Injection����,怎樣進行SQL Injection和如何防范SQL
Injection。通過一些程序源碼對SQL的攻擊進行了細致的分析�,使我們對SQL
Injection機理有了一個深入的認識,作為一名Web應(yīng)用開發(fā)人員�����,一定不要盲目相信用戶的輸入�,而要對用戶輸入的數(shù)據(jù)進行嚴格的校驗處理,否則的話����,SQL
Injection將會不期而至。
最后���,祝大家新年快樂��,身體健康�����,Code with pleasure�。
http://blog.csdn.net/stilling2006/article/details/8526458
|
