查明sql注入漏洞

IT/互联网 / 数据库 养生小编 来源:互联网 132浏览 0评论


个人整理:

1.注入字符串数据

    步骤:

        a.提交一个单引号作为目标查询的数据,观察是否会造成错误,或结果是否与原来结果不同。

        b.如果发现错误或其他异常行为,同时提交两个单引号,看会出现什么情况。数据库使用两个单引号作为转义序列,表示一个原因单引号,因此这个序列解释成引用字符串中的数据,而不是结束字符串的终止符。如果这个输入导致错误或异常行为小时,则应用程序可能易于收到sql注入攻击

        c.为进一步核实漏洞,可以使用sql连接符建立一个等同于“良性”输入的字符串,如果应用程序以与处理对应“良性”输入相同的方式处理专门设计的输入,那么可能易受到攻击。

            每种数据库连接方式各不相同,如:

                oracle: ‘||‘FOO

                ms-sql:  ‘+‘FOO

                mysql: ‘ ‘FOO 引号之间存在空格


2.注入数字数据:

    如果sql查询合并用户提交的数字数据,应用程序仍然会将它包含在单引号之中,作为字符串数据进行处理,可以按照上面字符串的测试步骤处理。有时候会直接将数字数据传送到数据库中,并不放在单引号中,使用上面方法无法检测到漏洞,可以按照下面测试步骤。

    步骤:

        a.尝试输入一个结果等于原始数字值的简单数学表达式。如,如果原始值是2,可以尝试提交1+1或3-1,如果有相同相应,则表明易受到攻击。

        b.如果证实被修改的数据会对应用程序造成明显影响,则前面描述的测试方式最为可靠。但是,如果能够在数字化参数中插入任意输入,但程序行为没有发生改变,前面的检查方法就无法发现漏洞。

        c.如果第一个测试方法取得成功,可以利用更加复杂、使用特殊sql关键字和语法的表达式进一步获得与漏洞有关 的证据。ASCII命令就是一个典型的实例,它返回被提交字符的数字化ASCII代码,。例如,A的ASCII值是65,在sql中,以下表达式等于2:

            67-ASCIi(‘A‘)

        d.如果单引号被过滤掉,那么前面的测试方法就没有用。但是,这时可以利用这样一个事实:即在必要时,数据库会隐含的将数字数据转化成字符串数据。例如,因为字符 1 的ASCII值为49,在sql语句中,以下表达式等于2:

             51-ASCIi(1)

    

    特别注意:

      在查探应用程序是否 存在sql注入类缺陷时,我们常常会犯一个错误,即忘记某些字符在http请求中具有特殊含义。如果希望在攻击有效载荷中插入这些字符,必须谨慎的对他们进行url编码,确保应用程序按照预料的方式解释他们,特别是以下字符:

       - &和=用于连接名/值对,建立查询字符串和post数据块。应当分别使用%26和%3d对他们进行编码。

       - 查询字符串中不允许使用空格,如果在其中提交空格,整个字符串会立即终止。必须使用 + 或 %20 对其编码。

       - 由于 + 用于编码空格,如果想在字符串中使用 + ,必须使用 %2b 对其编码。因此,前面的数字化实例中,1+1应以 1%2b1 的形式提交。

       - 分号用于分隔cookie字段,必须使用 %3b对其编码。

    无论是通过哦拦截代码服务器直接从浏览器中编辑参数值,或是使用其他方法进行编辑,都必须使用这些编码方法。如果没有对相关字符进行编码,那么整个请求可能会无效,或提交预期之外的数据。


3.注入查询结构:

    如果用户提交的数据被插入sql查询结构,而不是查询中的数据项,这时实施sql注入攻击只需要直接应用有效的sql语法,而不需要进行任何“转义”。

    sql查询结构中最常用的注入点是 order by子句。   

    步骤:

        a.记下任何可能控制应用程序返回的结果的顺序或其中的字段类型的参数。

        b.提供一系列在参数值中提交数字值的请求,从数字 1 开始,然后逐个请求递增。

            - 如果更改输入中的数字会影响结果的顺序,则说明输入可能被插入到order by子句中。

            - 如果提交输入 1 生成一组结果,其中一个列每一行都包含一个 1 ,则说明输入要可能被插入到查询返回的列的名称中,如:

                SELECt 1,title,year from books where publisher=‘wilery‘

        注解:

        在order by子句中实施sql注入与其他注入情形有很大区别,此时,数据中不会接受查询中的union、where、or、and关键字。通常实施注入攻击需要攻击者指定一个嵌套查询来替代参数,如用(SELECT 1 WHREE<<condition>> or  1/0=0)替代列名称。



查明sql注入漏洞

原文:http://zhpfbk.blog.51cto.com/4757027/1880425