SQL盲注攻擊與防范

李鴻鵠 王喆 翟繼強(qiáng)

摘要：分析DVWA中存在SQL盲注漏洞的源碼，旨在能夠通過(guò)對(duì)現(xiàn)有攻擊方式的驗(yàn)證下，提出對(duì)應(yīng)的防御措施，為開(kāi)發(fā)人員提供參考。采用基于時(shí)間的盲注方法，并借助python腳本對(duì)存在漏洞的頁(yè)面進(jìn)行了仿真測(cè)試，成功利用該漏洞顯示出數(shù)據(jù)庫(kù)版本信息。現(xiàn)階段對(duì)于存在數(shù)據(jù)庫(kù)操作的代碼，應(yīng)重視其安全性，針對(duì)安全和開(kāi)發(fā)的平衡，經(jīng)過(guò)相應(yīng)的需求分析后，采取對(duì)應(yīng)的防御措施。

關(guān)鍵詞：SQL注入攻擊；SQL盲注攻擊；數(shù)據(jù)庫(kù)；防御

中圖分類(lèi)號(hào)：TP391.4文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2018）05-68-4

Blind SQL Injection Attack and Defense

LI Honghu， WANG Zhe， ZHAI Jiqiang（College of Computer Science and Technology， Harbin University of Science and Technology， Harbin Heilongjiang 150000， China）

0引言

Web發(fā)展的每一個(gè)階段都肩負(fù)著不同的使命，應(yīng)對(duì)著不同的挑戰(zhàn)。Web1.0時(shí)代主要注重的是內(nèi)容的展示，在安全方面的挑戰(zhàn)也僅僅是如何做好防止Webshell的上傳工作。隨著Web技術(shù)的發(fā)展與成熟，安全問(wèn)題也成為其所要面對(duì)的巨大挑戰(zhàn)之一[1]，SQL注入攻擊對(duì)于Web應(yīng)用而言，無(wú)論是從其攻擊的深度還是廣度來(lái)看，都是一種危害性極大的攻擊方式。

SQL注入攻擊通過(guò)提交特殊值與數(shù)據(jù)庫(kù)進(jìn)行非法交互，當(dāng)代碼不夠健壯的時(shí)候，攻擊者可以通過(guò)相應(yīng)的SQL語(yǔ)句，任意對(duì)數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行增刪改查，如果服務(wù)器權(quán)限設(shè)置不合理，就可以直接讀取主機(jī)文件。本文通過(guò)源碼分析和運(yùn)用python腳本，闡述了SQL盲注注入[2]攻擊原理、詳細(xì)操作和防范方法。

1 SQL盲注原理

對(duì)于上一個(gè)代碼段來(lái)看，第二段代碼中多了一個(gè)@符號(hào)，這個(gè)符號(hào)的作用是將作用的php代碼產(chǎn)生的錯(cuò)誤信息忽略掉，也就是說(shuō)即使出現(xiàn)了錯(cuò)誤，也不把錯(cuò)誤信息顯示出來(lái)，從而無(wú)法獲取到服務(wù)器的錯(cuò)誤信息，增加了攻擊的難度。

2 SQL盲注注入流程

2.1基于邏輯的判斷

通過(guò)閉合參數(shù)邊界和添加邏輯判斷，查看頁(yè)面是否正常顯示。

如果2次頁(yè)面返回結(jié)果不相同，則可能存在SQL注入漏洞。

2.2基于時(shí)間的判斷

基于時(shí)間的判斷是通過(guò)提交包含數(shù)據(jù)庫(kù)時(shí)延函數(shù)的代碼，讓數(shù)據(jù)庫(kù)在指定時(shí)間后返回結(jié)果，通過(guò)觀察前端頁(yè)面的加載速度，來(lái)判斷是否存在SQL注入。

在User ID處提交1and （select*from（select（sleep（20）））a）--，提交后如果頁(yè)面返回出現(xiàn)20 s左右延遲，則說(shuō)明可能存在SQL注入漏洞，需進(jìn)一步進(jìn)行測(cè)試。

3基于時(shí)間的SQL盲注測(cè)試腳本編寫(xiě)

3.3腳本分析

測(cè)試腳本只是簡(jiǎn)單地對(duì)SQL盲注進(jìn)行了簡(jiǎn)單的自動(dòng)化測(cè)試，返回了數(shù)據(jù)庫(kù)的版本信息。基于時(shí)間的腳本，主要是通過(guò)數(shù)據(jù)庫(kù)的時(shí)延函數(shù)，使用like關(guān)鍵字，對(duì)構(gòu)造的payload與查詢(xún)信息進(jìn)行對(duì)比，如果為真，則調(diào)用時(shí)延函數(shù)，數(shù)據(jù)庫(kù)延遲相應(yīng)的時(shí)間才會(huì)返回結(jié)果，進(jìn)而導(dǎo)致服務(wù)器返回響應(yīng)會(huì)出現(xiàn)時(shí)間延遲情況；如果不為真，則服務(wù)器響應(yīng)會(huì)立即返回。通過(guò)服務(wù)器返回響應(yīng)是否存在延遲現(xiàn)象，判斷構(gòu)造的payload是否正確。

通過(guò)對(duì)查詢(xún)內(nèi)容的更改，可逐步獲取相應(yīng)的內(nèi)容，如把version（）部分換成user（），可查詢(xún)到當(dāng)前數(shù)據(jù)庫(kù)的用戶(hù)信息。如果需要測(cè)試具體內(nèi)容，請(qǐng)更改cookies值和SQL檢測(cè)語(yǔ)句，可以得到具體的表和字段信息。

4 SQL盲注防范

4.1 WAF防火墻

Web應(yīng)用防護(hù)系統(tǒng)[3]（Web Application Firewall，WAF）工作在應(yīng)用層，對(duì)來(lái)自Web應(yīng)用程序客戶(hù)端的各種請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全性與合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷。WAF的實(shí)現(xiàn)通常由配置、協(xié)議解析、規(guī)則、動(dòng)作和錯(cuò)誤處理5個(gè)模塊組成。通過(guò)提供代理服務(wù)、特征識(shí)別、算法識(shí)別及模式匹配等方式來(lái)進(jìn)行Web防護(hù)。

4.2參數(shù)化查詢(xún)

在使用參數(shù)化查詢(xún)[4]的情況下，數(shù)據(jù)庫(kù)在完成對(duì)SQL指令的預(yù)編譯后，才會(huì)傳入?yún)?shù)值，因此就算參數(shù)中含有惡意的指令，因?yàn)檎Z(yǔ)法分析和預(yù)編譯已經(jīng)完成，所以客戶(hù)端提交的參數(shù)內(nèi)容不會(huì)被視為SQL指令的一部分，通過(guò)該方式可有效地防御SQL注入。經(jīng)驗(yàn)證，對(duì)由客戶(hù)端提交的id值進(jìn)行了參數(shù)化處理的情況下，SQL注入攻擊無(wú)效。

4.3對(duì)重要信息進(jìn)行加密

盡管SQL注入防御技術(shù)在逐步地發(fā)展，且已經(jīng)有成熟的防范措施，對(duì)于程序員參差不齊的編程能力，難免Web應(yīng)用程序可能存在SQL注入漏洞。針對(duì)這種情況，可以對(duì)數(shù)據(jù)庫(kù)中重要的信息內(nèi)容進(jìn)行加密，可采用DES﹑RSA、AES及MD5等加密算法，進(jìn)行數(shù)據(jù)的加密，即使Web應(yīng)用程序存在SQL注入問(wèn)題，攻擊者在獲取數(shù)據(jù)庫(kù)內(nèi)容的前提下，也無(wú)法猜解其相應(yīng)的明文內(nèi)容。

4.4對(duì)提交參數(shù)進(jìn)行檢查

SQL注入發(fā)生的主要原因是程序編寫(xiě)者對(duì)于用戶(hù)的輸入沒(méi)有進(jìn)行驗(yàn)證，未曾考慮其Web程序安全性問(wèn)題，可以通過(guò)設(shè)置前端顯示所在字段的長(zhǎng)度屬性，限制用戶(hù)的輸入長(zhǎng)度，也可在后端對(duì)用戶(hù)的輸入?yún)?shù)中的敏感字符[5]進(jìn)行轉(zhuǎn)義或者過(guò)濾，對(duì)于已經(jīng)確定參數(shù)類(lèi)型的輸入?yún)?shù)，可限制其輸入的類(lèi)型，如輸入?yún)?shù)為整型，則當(dāng)用戶(hù)輸入?yún)?shù)為非整型的時(shí)候，不允許用戶(hù)訪問(wèn)。用戶(hù)的輸入驗(yàn)證，可在一定程度上減少SQL注入攻擊的發(fā)生，但存在一定的局限性，可能存在規(guī)則被繞過(guò)的可能性。

4.5屏蔽錯(cuò)誤信息

SQL注入攻擊可利用服務(wù)端回顯的錯(cuò)誤信息，再結(jié)合數(shù)據(jù)庫(kù)相應(yīng)的報(bào)錯(cuò)特點(diǎn)，通過(guò)報(bào)錯(cuò)型注入方式，獲取數(shù)據(jù)庫(kù)相應(yīng)內(nèi)容，若數(shù)據(jù)庫(kù)權(quán)限設(shè)置不當(dāng)，當(dāng)服務(wù)端報(bào)錯(cuò)返回其絕對(duì)路徑后，可通過(guò)相應(yīng)的SQL語(yǔ)句，將一句話寫(xiě)入到網(wǎng)站所在服務(wù)器，這樣會(huì)導(dǎo)致其服務(wù)器徹底淪陷。通過(guò)屏蔽其頁(yè)面和數(shù)據(jù)庫(kù)報(bào)錯(cuò)信息，可以從一定程度上杜絕攻擊者通過(guò)錯(cuò)誤回顯來(lái)進(jìn)行SQL注入，但不能從根本上防止SQL注入發(fā)生。

5結(jié)束語(yǔ)

SQL注入是目前針對(duì)于數(shù)據(jù)庫(kù)攻擊的主要方式，該方式通過(guò)惡意構(gòu)造SQL語(yǔ)句，并嵌入到相應(yīng)的注入點(diǎn)，通過(guò)該方式來(lái)獲取相應(yīng)的數(shù)據(jù)庫(kù)數(shù)據(jù)，大多數(shù)的存在SQL注入的Web應(yīng)用程序，主要是程序員對(duì)傳入?yún)?shù)進(jìn)行了動(dòng)態(tài)的拼接，導(dǎo)致攻擊者可以構(gòu)造其想要執(zhí)行的SQL語(yǔ)句，進(jìn)而發(fā)生數(shù)據(jù)泄露問(wèn)題。本文通過(guò)講述SQL盲注原理、攻擊方式、注入流程和相應(yīng)python腳本的編寫(xiě)，提出相應(yīng)的SQL注入防御策略，為SQL注入攻擊的安全防護(hù)工作提供有效的解決思路。

參考文獻(xiàn)

[1]韓宸望，林暉，黃川.基于SQL語(yǔ)法樹(shù)的SQL注入過(guò)濾方法研究[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2016，2（11）：70-77.

[2]趙宇飛，熊剛，賀龍濤，等.面向網(wǎng)絡(luò)環(huán)境的SQL注入行為檢測(cè)方法[J].通信學(xué)報(bào)，2016，37（2）：89-98.

[3]劉志光.Web應(yīng)用防火墻技術(shù)分析[J].情報(bào)探索，2014（3）： 103-105.

[4]李鑫，張維緯，隋子暢，等.新型SQL注入及其防御技術(shù)研究與分析[J].信息網(wǎng)絡(luò)安全，2016（2）：66-73.

[5]張慧琳，丁羽，張利華，等.基于敏感字符的SQL注入攻擊防御方法[J].計(jì)算機(jī)研究與發(fā)展，2016，53（10）：2262-2276.

[6]劉岳，盛杰，尹成語(yǔ).Web應(yīng)用中SQL注入攻擊與防御策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（4）：109-111.