Обзор SQL-инъекций

Что такое уязвимость SQL-инъекции?

Злоумышленники пользуются пренебрежением к проверке ввода данных пользователем в веб-приложениях и включают во входные данные символы или команды, которые имеют особое значение для определенных систем баз данных, давая злоумышленникам возможность напрямую выдавать инструкции внутренней системе баз данных, тем самым достигая полного контроля над серверная часть. Вторжение в базу данных или даже всю систему приложения.

Принцип уязвимости SQL-инъекции

Сервер не фильтрует вредоносные данные, введенные пользователем, и напрямую выполняет введенные пользователем данные в виде оператора SQL, тем самым влияя на безопасность базы данных и платформы.

Необходимо выполнить два условия:

• Пользователь может контролировать ввод
• Исходный оператор SQL, который должен выполнить программа, дополнен вредоносными данными, введенными пользователем.

Процесс SQL-инъекции

Опасности, вызванные SQL-инъекцией

• Обход проверки входа: используйте универсальный пароль для входа в серверную часть веб-сайта и т. д.
• Получите конфиденциальные данные: получите учетную запись администратора веб-сайта, пароль и т. д.
• Операции с файловой системой: просмотр каталогов, чтение, запись файлов и т. д.
• Операции с реестром: чтение, запись, удаление реестра и т.д.
• Выполнять системные команды: выполнять команды удаленно.

Пример SQL-инъекции

Передавая параметры по имени пользователя ' or 1 = 1 -- Войдите с универсальным паролем

SELECT username, password FROM users WHERE имя пользователя = 'входное значение' or 1=1-- ' AND пароль = 'Введите значение 2'


(Уведомление:  --  После него есть пробел)

На данный момент входными символами являются:

• formusr = ' or 1=1 --
• formpwd = anything

Фактический код запроса:

SELECT  *  FROM users WHERE username= ' ' or 1=1 -- AND password = 'anything'

Как определить, содержит ли HTTP-запрос SQL-инъекцию

• Классический метод суждения

and1=1   ；    and 2>1  ；   or 1=1 ；  or 1<1

• Функции базы данных

sleep(4)=1   ；length(user())>3

• специальные символы

одинарная кавычка(  '  ）    ；   двойные кавычки (  "  )

Классификация SQL-инъекций

Классификация по типу точки впрыска

• Числовой тип (целочисленный) ввод
• Внедрение символов
• поисковая инъекция

Числовой тип (целочисленный) ввод

Входные параметры являются целыми числами,Например, идентификатор, возраст, номер страницы и т. д.,Если есть инъекционная уязвимость,Тогда это Числовой тип (целочисленный) ввод。

http://www.testweb.com/user.php?id=8

Фактический прототип кода запроса выглядит следующим образом:

select ... from ... where id=$id ..

Метод инъекционного испытания:

Внедрение символов

Обычно входные параметры имеют строковый тип.,Отличие от цифрового впрыска заключается в том, что,Внедрение символов Обычно используйтеодинарная кавычказакрыть。

http://www.testweb.com/test.php?user=admin

Фактический прототип кода запроса выглядит следующим образом:

select ... from ... where id='$id'  ...

Внедрение символов Метод испытания：

поисковая инъекция

Этот тип внедрения в основном относится к отказу от фильтрации параметров поиска при выполнении поиска данных. Обычно в адресе ссылки есть «ключевое слово = ключевое слово». Некоторые не отображают адрес ссылки, а отправляют его непосредственно через форму окна поиска.

Прототип оператора SQL, представленного этим типом точки внедрения, выглядит примерно так:

select * from имя таблицы where Поле like   '%ключевое слово%'

Когда мы отправляем параметры впрыска, keyword= ' и условия запроса and '%'=' , поэтому оператор SQL, отправленный в базу данных, имеет следующий вид:

select * from имя таблицы where Поле like '%' and [условия запроса] and '%'='%'

Классификация по технологии инъекций (эффект исполнения)

• Слепая инъекция на основе логического значения: инъекция, которая может определить, является ли условие истинным или ложным, на основе возвращенной страницы.
• Слепое внедрение на основе времени: вы не можете судить о какой-либо информации на основе содержимого, возвращаемого страницей. Используйте условные операторы, чтобы проверить, выполняется ли оператор задержки по времени (то есть увеличивается ли время возврата страницы).
• Внедрение на основе отчетов об ошибках: то есть страница вернет информацию об ошибке или результат внедренного оператора будет возвращен непосредственно на страницу.
• Внедрение запроса на объединение: можно использовать внедрение в случае объединения.
• Внедрение запроса к куче: Внедрение, при котором одновременно выполняется несколько операторов.

Причины уязвимостей SQL-инъекций

Вызвано динамической конструкцией строк.

• Неправильная обработка escape-символов (широкобайтовая инъекция)
• Некорректная обработка ошибок (сообщение об ошибках приводит к утечке информации)
• Неправильная обработка запросов на объединение
• Неправильная обработка нескольких заявок (вторичная инъекция)

Проблемы на заднем плане

• Никакой скрытой фильтрации или кодирования пользовательских данных.
• База данных может объединять вредоносный код, передаваемый пользователями

Неправильная обработка ошибок

• Подробные внутренние сообщения об ошибках, отображаемые пользователю или злоумышленнику.
• Сообщение об ошибке может напрямую помочь злоумышленнику на следующем этапе атаки.

Небезопасная конфигурация базы данных

• Учетная запись по умолчанию:

SOL Server использует «sa» в качестве учетной записи системного администратора базы данных;

MySQL использует «корневые» и «анонимные» учетные записи пользователей;

Oracle обычно создает учетные записи SYS, SYSTEMS DBSNMP и OUTLN по умолчанию при создании базы данных.

• Разрешения по умолчанию:

Системным администраторам и администраторам баз данных разрешено выполнять операции от имени root-пользователя системы или администратора привилегированной системной учетной записи при установке сервера базы данных. Они всегда должны запускать службы на сервере как обычный пользователь, уменьшать права пользователя и ограничивать права пользователя только этой службой. .

Найдите точки внедрения SQL

ПОЛУЧИТЬ метод

• HTTP-метод запроса к серверу, при котором информация включается в URL-адрес.
• Этот метод обычно используется при нажатии на ссылку

Формат метода запроса GET

?text=value1&cat=value2&num=value3....

Метод модификации

• Этими параметрами можно управлять, непосредственно изменяя их на панели навигации браузера.
• Плагин Хак Бар

POST-метод

POST — это метод HTTP, используемый для отправки информации на веб-сервер. Информация о данных не может быть видна в URL-адресе. Могут быть отправлены данные размером до байтов.

Метод модификации

• Расширение модификации браузера (Hackbar)
• Прокси-сервер (Burpsuite)

Другие данные о точках впрыска

• Cookie
• Host
• User-Agent

Сводная информация о точках инъекции

Пока серверная часть получает данные, вводимые внешним интерфейсом, не фильтрует данные и, наконец, напрямую поступает в базу данных, это может представлять угрозу.

Процесс SQL-инъекции

Ручной процесс инъекции

Экземпляр ручной инъекции

Метод внедрения на основе запроса объединения (unionselect).

Определить точку инъекции

Определить длину поля

Определите положение эха

Определить информацию о базе данных

Найти имя базы данных

Найти таблицу базы данных

Найти таблицу базы данных Все в Поле

Найти таблицу базы данных Все в Полеценить

Угадайте пароль учетной записи

Войдите в базу данных

Автоматизированные инструменты для инъекций

(1) Инструменты внедрения SQL: Sqlmap, Havij, Sqlid.

(2) Инструменты внедрения ASP\JSP: NBSI, программное обеспечение для внедрения Mingxiaozi, программное обеспечение для внедрения AD.

(3) Инструменты для внедрения PHP: программное обеспечение для внедрения Pangolin, лучшее программное обеспечение для внедрения Haiyang

Некоторые изображения в этой статье взяты из учебного курса для сертифицированных инженеров службы безопасности Sangfor. Они предназначены для удобства личного изучения и использования и не предназначены для коммерческого использования! ! ! ! Текстовый контент набран лично мной, а не перенесен напрямую! Если есть какие-либо нарушения, пожалуйста, свяжитесь с нами, чтобы удалить их! ! !

Информация, представленная в этом документе, предназначена только дляОбразовательные цели и тестирование на проникновение с явным разрешением。Любое несанкционированное использование технической информации, содержащейся в этом документе, строго запрещено.,И может нарушать «Сетевой закон Китайской Народной Республики» и связанные с ним законы и правила. Пользователи должны использовать полученные знания законным и соответствующим требованиям образом.,Он не может использоваться для незаконного вторжения, разрушения информационных систем и других злонамеренных действий. Мы настоятельно рекомендуем всем читателям соблюдать местные законы и этические правила.,Исследуйте информационные технологии в пределах правовых границ.

Я участвую в 21-дневном конкурсе Tencent по созданию технологий 2024 года ｜Специальный сезон обзоров в середине года, накопление технологий в середине года, сохраните свой флаг, приходите и разделите со мной главный приз!