SQL注入攻击

概述

 

SQL攻击（SQL injection，又称SQL注入攻击），是发生于应用程序中数据库层的安全漏洞。简而言之，就是在输入的字符串之中注入SQL指令，从而达到攻击破坏的效果。

 

在设计不良的程序当中，由于忽略了输入检查，在面对注入指令时，系统可能会把这些内容误认为是正常的SQL指令而运行，从而使数据库服务器遭到破坏。

 

有些人认为SQL注入攻击是只针对Microsoft SQL Server而来，但事实情况并非如此，只要是支持批量处理SQL指令的数据库服务器，都有可能受到此种手法的攻击。

 

场景

 

先通过一个例子理解SQL注入攻击的工作过程。

 

例如：某个网站的登录验证的SQL查询代码为：

strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"

当用户恶意填入

userName = "' OR '1'='1";

与

passWord = "' OR '1'='1";

时，将导致原本的SQL字符串被填为：

strSQL = "SELECT * FROM users WHERE (name = '' OR '1'='1') and (pw = '' OR '1'='1');"

也就是实际上运行的SQL命令为：

strSQL = "SELECT * FROM users;"

从而达到无帐号密码，亦可登录网站的目的。

 

所以SQL注入攻击被俗称为黑客的填空游戏。

 

作用原理

 

仔细研究上述场景， 不难发现SQL注入攻击是通过SQL的特性来工作的。

 

作为一种常用工具，SQL具有以下特征：

• SQL命令可查询、插入、更新、删除数据库；
• SQL命令可以串接，以分号字符为不同命令的区别；
• SQL命令对于传入的字符串参数是用单引号字符所包起来；
• SQL命令中，可以注入注解；

因此，当程序中存在组合SQL的命令字符串时，如果程序员未针对单引号字符作取代处理，将导致输入的字符变量在填入后，恶意窜改原本的SQL语法和作用。

 

产生的原因

 

应用程序中若有下列状况，就可能将应用程序暴露在SQL注入攻击的高风险下：

• 在应用程序中使用字符串联结方式组合SQL指令；
• 在应用程序连结数据库时使用权限过大的帐户；
• 在数据库中开放了不必要但权力过大的功能；（例如在Microsoft SQL Server数据库中的xp_cmdshell延伸预存程序或是OLE Automation预存程序等）
• 太过于信任用户所输入的数据，未限制输入的字符数，以及未对用户输入的数据做潜在指令的检查。

可能造成的伤害

• 数据表中的数据外泄，例如个人机密数据，帐户数据，密码等。
• 数据结构被黑客探知，得以做进一步攻击（例如SELECT * FROM sys.tables）。
• 数据库服务器被攻击，系统管理员帐户被窜改（例如ALTER LOGIN sa WITH PASSWORD='xxxxxx'）。
• 取得系统较高权限后，有可能得以在网页加入恶意连结以及XSS。
• 经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统（例如xp_cmdshell "net stop iisadmin"可停止服务器的IIS服务）。
• 破坏硬盘数据，瘫痪全系统（例如xp_cmdshell "FORMAT C:"）。

避免的方法 

• 在设计应用程序时，完全使用参数化查询（Parameterized Query）来设计数据访问功能。
• 在组合SQL字符串时，先针对所传入的参数作字符取代（将单引号字符取代为连续2个单引号字符）。
• 如果使用PHP开发网页程序的话，亦可打开PHP的魔术引号（Magic quote）功能（自动将所有的网页传入参数，将单引号字符取代为连续2个单引号字符）。
• 其他，使用其他更安全的方式连接SQL数据库。例如已修正过SQL注入问题的数据库连接组件，例如ASP.NET的SqlDataSource对象或是 LINQ to SQL。
• 使用SQL防注入系统。

通过 Wiz 发布