SQL注入之注入点的寻找
注入点的判断
判断一个链接是否存在注入漏洞,可以通过对其传入的参数(但不仅仅只限于参数,还有cookie注入,HTTP头注入等) 进行构造,然后对服务器返回的内容进行判断来查看是否存在注入点。
注入点的种类
1.按注入点参数的类型分类
(1)数字型注入
例如id=1这种类型,向数据库传入的是数字,参数不需要被引号括起来。
(2)字符型注入
例如name=admin这种类型,像数据库传入的是字符串,参数需要被引号括起来。
2.按照数据请求方式来分类
(1)GET注入
HTTP请求方式为get,注入点一般在get传入的参数部分,例如?id=1,id便是一个注入点。
(2)POST注入
HTTP请求方式为post,注入点一般为提交的HTML表单, 即post传入的数据内容。
(3)HTTP头注入
HTTP的请求头存在注入点,例如XFF头,cookie,Host这些都是常见的注入点。
3.按照语句的执行效果来分类
(1)报错注入
页面会返回错误信息,或者将语句的查询结果直接返回到页面(这是最常见的一种注入,一般手注就可搞定)
(2)基于布尔的盲注
盲注的意思就是你无法直接通过页面的返回内容来获取信息,页面只会返回真假,你需要对一个个字符进行测试,相对于报错注入,盲注的工作量比较庞大,一般写脚本或者用工具跑。
(3)基于时间的盲注
页面无法直接返回真假,需要构造条件语句查看时间延迟的语句是否成功执行(观察页面的返回时间的长短)来进行判断。
(4)联合查询注入
通过union来将多条语句的结果组合到一个结果中
(5)宽字节注入
宽字节注入是由编码不统一引起的,一般是在PHP+MySQL中出现
(6)堆查询注入
堆叠查询可以构造执行多条语句
(7)二次注入
将攻击者构造的恶意数据存储在数据库后,恶意数据被读取并进入到SQL查询语句所导致的注入。
注入类型的判断
(1)数字型注入
判断步骤
1.首先在参数后加个单引号,URL:www.3333.com/text.php?id=1’ 对应的sql:select * from table where id=3’ 这时sql语句出错,程序无法正常从数据库中查询出数据,就会抛出异常;
2.在参数后加 and 1=1 www.33333.com/text.php?id=1 and 1=1 对应的sql:select * from table where id=3’ and 1=1 该语句前后都为真,语句执行正常,与原始页面无任何差异;
3.在参数后加 and 1=2 www.33333.com/text.php?id=1 and 1=2 对应的sql:select * from table where id=3’ and 1=2 该语句为假,所以无法返回结果,返回异常。
一般满足以上三点就可以认定该注入点的类型为数字型注入。
(2)字符型注入
判断步骤
1.加单引号:select * from table where name=’admin’’ 由于加单引号后变成三个单引号,则无法执行,程序会报错;
2.加 and 1=1 此时sql 语句为:select * from table where name=’admin’ and 1=1’ ,也无法进行注入,还需要通过注释符号将其绕过;(MySQL常用的注释符号有# -- (后面还有个空格) /* */)
构造语句为:select * from table where name =’admin’ and 1=1#’ 可成功执行返回结果正确;
3.加and 1=2 此时sql语句为:select * from table where name=’admin’ and 1=2 –’则会报错。
如果满足以上三点的话,基本可以认定为字符型注入。