数学建模社区-数学中国

标题: URL编码与SQL注射 [打印本页]
作者: 韩冰    时间: 2004-11-22 23:43
标题: URL编码与SQL注射
<>说到url编码,你或许会想起N年前的url编码漏洞。可惜我是"生不逢时"啊,我接触网络时,那个漏洞早就绝迹咯。0 [8 g5 Q; D5 d3 F
. x' w2 E. Z: K" V" N4 S& Y
言归正传,URL 编码是什么东东呢?看看我从网上抄的定义:: i9 f% W) O, W3 o9 o3 U# {; D
' t( D6 u& t7 h+ G- Y( z; i
引用: </P>; b  M$ e& s$ A. m$ Q9 h9 ?
url编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值 ,将它们以name/value参数编码(移去那些不能传送的字符, 将数据排行等等)作为URL的一部分或者分离地发给服务器。不管哪种情况, 在服务器端的表单输入格式样子象这样: + r7 B! N* Z4 @- J8 |! g" K

/ _4 n5 A, V# a% k( l( H/ QtheName=Ichabod+Crane&amp;gender=male&amp;status=missing&amp;headless=yes' S7 v, e0 @9 ^: S, n

9 x% }9 D; _1 l1 S1 tURL编码遵循下列规则: 每对name/value由&amp;符分开;每对来自表单的name/value由=符分开。如果用户没有输入值给这个name,那么这个name还是出现,只是无值。任何特殊的字符(就是那些不是简单的七位ASCII,如汉字)将以百分符%用十六进制编码,当然也包括象 =, &amp;, 和 % 这些特殊的字符。
( E/ j) R, O2 p8 E& C! ]
) Q, c- ]# a; S呵呵,明白了吧,其实url编码就是一个字符ascii码的十六进制。不过稍微有些变动,需要在前面加上"%"。比如"\",它的ascii码是92,92的十六进制是5c,所以"\"的url编码就是%5c。那么汉字的url编码呢?很简单,看例子:"胡"的ascii码是-17670,十六进制是BAFA,url编码是"%BA%FA"。呵呵,知道怎么转换的了吧。
0 l% R7 J  {: o( E7 W4 I' f
7 E9 w8 W0 \# e- I* ?# PURL编码平时我们是用不到的,因为IE会自动将你输入到地址栏的非数字字母转换为url编码。所以对于浏览器来说http://blog.csdn.net/l%61ke2与http://blog.csdn.net/lake2是等效的(注意,第一个url我用%61替换了a)。呵呵,或许你已经想起了,有人提出数据库名字里带上"#"以防止被下载,因为IE遇到#就会忽略后面的字母。破解方法很简单——用url编码%23替换掉#。我本来企图利用url编码来躲过注射检查的,不过失败了,因为服务器端会将url编码转换成字符的。2 Y6 w" K" l: ]2 Z- ^
6 [. Z/ V- B$ c5 X; N' v
等等,好像跑题了啊,呵呵,不好意思:)
; @# C0 w' ^% h" D
% n6 Y& X0 ?+ [# N" Z: [7 w现在SQL注射非常流行,所以就有人写了一些防注射的脚本。当然啦,思路不一样,效果大不同。各位看官请看下面的××SQL通用防注入asp版部分代码。& s. A5 g' z3 J6 e& }
7 g9 V) `( M3 U# \/ B4 v6 u
Fy_Url=Request.ServerVariables("QUERY_STRING")( v7 D# ?) Z8 R& Z, F7 t, ^  D
Fy_a=split(Fy_Url,"&amp;")
7 r$ d- L0 g8 O8 T. @! Y3 l" G" c; Nredim Fy_Cs(ubound(Fy_a))
* Z" t3 i; l; D% }3 TOn Error Resume Next6 z& b" A3 `* O$ J2 t7 G' h
for Fy_x=0 to ubound(Fy_a)
1 ^4 v* I5 e, A9 T- W' r; QFy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),"=")-1)+ [+ k9 v1 y) W. S6 ]% `  M
Next2 @$ ?" Y# X7 a3 w1 G4 U
For Fy_x=0 to ubound(Fy_Cs)1 v7 o. J3 k& u* i
If Fy_Cs(Fy_x)&lt;&gt;"" Then1 [, e1 }+ w3 T" X5 l* S
If Instr(LCase(Request(Fy_Cs(Fy_x))),"and")&lt;&gt;0 then
6 O* _" u( A& F7 g  R& GResponse.Write "出现错误!"
* c0 T1 K* o/ ]( w  ^+ a5 I2 R: lResponse.End
1 V8 y2 C- y% h) A5 _End If
# t( v. S* J1 I% h8 ]- p" o5 J7 @- jEnd If
5 p+ U( B/ R3 PNext
( d$ R  @9 c$ [: G( F4 Z: Z
; R6 N% p5 j6 l6 U, t) j: o
+ J/ b; F/ A9 d* y) \( B( d9 u它的思路就是先获得提交的数据,以"&amp;"为分界获得并处理name/value组,然后判断value里是否含有定义的关键字(这里为求简便,我只留下了"and"),有之,则为注射。* \2 o' l, k* W+ f) k' b
7 X* Q% Z- S* F2 P5 g0 H
乍一看去,value被检查了,似乎没有问题。呵呵,是的,value不会有问题,可是,name呢?
& |; [' |4 b  p
+ I7 d( h. h8 V7 s5 {它的name/value组值来自于Request.ServerVariables("QUERY_STRING"),呵呵,不好意思,这里出问题了。Request.ServerVariables("QUERY_STRING")是得到客户端提交的字符串,这里并不会自动转换url编码,哈哈,如果我们把name进行url编码再提交的话,呵呵,那就可以绕过检查了。比如参数是ph4nt0m=lake2 and lis0,此时程序能够检测到;如果提交%50h4nt0m=lake2 and lis0(对p进行url编码),程序就会去判断%50h4nt0m的值,而%50h4nt0m会被转换为ph4nt0m,所以%50h4nt0m值为空,于是就绕过了检测。
" C8 {8 m# S- k
0 v! d! P9 A8 V9 F4 Q等等,为什么既然name不解码可以绕过检查而value就不能绕过呢?因为value的值取自Request(Fy_Cs(Fy_x)),这个服务器就会解码的。
8 n0 B2 o( O# C" q. a1 G
; ?! |$ d. E. j程序怎么改进呢?只要能够得到客户端提交的数据是解码后的就可以了,把得到name的语句改为For Each SubmitName In Request.QueryString就可以了。
, m4 K" S% {& n# c* g! b
+ \: {+ ]4 G, w* z6 c呵呵,谢谢阁下耐着性子看完我的文章^_^



欢迎光临 数学建模社区-数学中国 (http://www.madio.net/) Powered by Discuz! X2.5