SQL注入攻击零距离

韩冰

SQL注入攻击零距离

来源：http://www.17nc.com/

8 t* ?3 s) J; i, L7 D1 `

一次次的SQL注射入侵，一次次的网站被黑，总是那句话，漏洞在所难免，难道一点办法都没吗？这篇文章就是为大家解析下SQL注 射的原理，以及给出一些预防方法。 2 o* O `+ v( `9 n- R W$ O一：基础篇 分析下漏洞产生的原因，主要还是参数没完全过滤。 ( ^. ? R g0 ]3 C5 O O; {cntid = Request("cntid") 5 F* J" L5 m. b- _6 G5 t这样的语句就存在一个注入攻击，首先，没验证是否为整数 解决方法： ' B8 t, O$ u0 ^6 K& c! D2 B<% dim cntid , ~$ s$ e+ i( m( n9 V, U. A: ^cntid =replace(request("cntid "),"","") $ ~. x, o1 z& Y/ y n" @) sif (not isnumeric(cntid)) then " C5 f6 G" s- P( Gcall error response.end & q- @: E5 x8 Y0 b* tend if sub Error() response.write " <table align=center width=300 border=0 cellpadding=4 cellspacing=0 >" response.write " <tr > " * ^: S. b3 [6 ]% {; ~3 gresponse.write " <td colspan=2 height=15> " & x9 E% y3 g @9 \9 S- i6 `' vresponse.write " <div align=center> 3 `" b/ k/ }) z操作: 参数错误!</div>" 8 |# N; U( X2 @1 W, D% Mresponse.write " </td>" response.write " </tr>" ' B. j. _3 b" p* Zresponse.write " <tr> " response.write " <td colspan=2 height=23> " $ G6 C; ]7 ^! r1 Y, o9 X9 Iresponse.write " <div align=center><br><br>" $ C; |- v! V u# U! D$ M/ n0 K7 s0 Aresponse.write " 参数错误!!!非法探测已经被记录 <br><br>" / b$ e1 e6 I4 ]+ S2 |response.write " <a href=javascriptnclick=history.go(-1)>返回</a>" ) J3 A( ?% K4 U* E, ?response.write " <br><br></div></td>" 5 B' ]& Y ~( X/ |& o8 @; C3 l/ Xresponse.write " </tr> </table></body></html>" 3 ^) e* p1 i3 k* p/ zend sub - y/ G1 M$ G7 F' ]. Z8 |%> 0 f* J0 Q$ s3 |' h ~0 _7 n 这是一个最基础的过滤，如果提交非法参数效果如图1： . \/ X! k1 v1 Z: X: L" ?. ~ 5 [- R' m0 P. I4 I6 }! @; M 1 g' V1 \; V9 h( G5 V! b! y( e6 j ~# T那么我们还需要注意什么？ 6 b3 _6 ^# H( I; X用户名的注册，必须过滤掉一些特殊符号，继续刚才的话题，我们假设是username. 9 C6 J u3 S5 E+ x/ X! @<% dim username username =replace(request("username "),"","") " [9 U5 `- w$ q* I- [if Instr(username,"=")>0 or Instr(username,"%")>0 or Instr(username,chr(32))>0 or Instr(username,"?")>0 or Instr(username,"&")>0 or Instr(username,";")>0 or ) b" r- l* ?+ A0 X2 UInstr(username,",")>0 or Instr(username,"")>0 or Instr(username,",")>0 or Instr (username,chr(34))>0 or Instr(username,chr(9))>0 or Instr(username,"?")>0 or 6 f8 f4 b F3 C; jInstr(username,">")>0 or Instr(username,"<")>0 or Instr(username,"$")>0 or Instr 9 A0 h5 v8 [ Q: m9 Y) Q! w+ q(username,"#")>0 or Instr(username,"@")>0 then ( o% O# _# b U$ ~+ p7 Y& T$ Z+ a5 t , z+ }( x- E. e* ~9 p; P; c. ^call error # j& m4 d2 I3 J* f; iresponse.end end if # o/ t$ j0 G6 S8 Esub Error() 5 c# t5 X' T5 ?- q) r$ v9 ^0 mresponse.write " <table align=center width=300 border=0 + ], e' m5 W" Z( F5 z1 E, Pcellpadding=4 cellspacing=0 >" response.write " <tr > " # g- f& v, e+ s. Z4 l7 cresponse.write " <td colspan=2 height=15> " response.write " <div align=center>操作: 参数错 3 e% g& ^! t! Q1 W5 g误!</div>" : Y$ C, ]( O$ {, H4 o" Iresponse.write " </td>" , z8 D& y6 Q- V6 N, ]- n" eresponse.write " </tr>" - l2 v# P- S! t2 N4 aresponse.write " <tr> " 1 x7 R* v6 r5 M/ G- J. gresponse.write " <td colspan=2 height=23> " 7 y/ @/ I; o4 Z% i6 }' G8 \/ N& Zresponse.write " <div align=center><br><br>" response.write " 用户名中含有非法字符(“=”,“%”, . f+ h3 e- u8 E; a* |" R ~* g“?”,“&”,“;”,“,”,“”,”?”,“>”,“<”,“$”,“#”,“@”) <br><br>" response.write " <a % E- z, q; N; Mhref=javascriptnclick=history.go(-1)>返回</a>" ' X4 S/ x/ n8 X# g1 P" d |response.write " <br><br></div></td>" 3 k3 n( W8 _' Z4 j3 f5 f2 fresponse.write " </tr> </table></body></html>" end sub %> 利用这个原理，我们还能过滤一些可能存在cookies跨站脚本的地方： 9 ]7 G5 Q' w; c' r只要过滤cookie，java这样的字眼，方法同上。需要注意的事，类似与用户登陆的地方，用户名一定要username =replace(request("username "),"","")，意思就是把’过滤成”，这样做的目的就是预防’ or ‘’=’这样的入侵。 4 ^2 s* U7 r M1 @. N& S- N可是如果类似www.xx.com/list.asp? action = search 我们可以这样过滤 - Z0 W2 P$ }9 j% \8 \7 ^) J% M<% action=request("action") 1 D/ ~9 ? W( Gselect case action - d. n" `- g& y) `case "search" 3 R; t k0 z1 F; ^& l& S- ycall search() " D3 S1 ]/ x4 Xcase else 7 G/ q" G( _' |( `; pcall search() : ?2 G) G5 A1 ?: P y Qend select # c6 t: A) |5 E% V" {5 m# _: isub search () 1 R9 c2 ]) K/ a3 O8 |& X8 ]0 ^这里是search的内容 end sub %> 大家可以看到无论对错，都执行search。这样也可以预防SQL。 3 S8 W2 t6 i' e* s0 Z4 B9 R x二：密码安全 : d$ |$ K, h9 C: Q. j采用不可逆加密是必须的选择，防止别人探测到密码后暴力破解，MD5用艿氖迪址浅＜虻ィ?姹闳フ腋鯩D5函数体，很多源代码都 带。 <!-- #include file=" md5.asp" --> 这里是引入MD5函数 <% dim username username =md5(md5(replace(request("username "),"",""))) . d0 P6 j Z- N' h' J4 P8 q: B$ s%> , Q T- K4 C5 k) y' l" w这里就实现了2次MD5加密，一般2-3次就足够了，暴力破解比较困难：） COOKIES欺骗问题很严重，所以一般后台管理员一定要session验证。实现方法 我们在登入成功后写入 $ L: L; S6 D+ ^4 Y3 d% S( Dsession("btadmin")=rsadmin("admin") 4 V* w, W* L7 b. m6 e1 S2 g) x' g建立一个验证函数cookies.asp 内容如下 2 M2 q( y0 |, r<% if session("btadmin")="" then response.redirect "admin.asp" end if %> 5 s% J7 i6 l% c; O7 s/ E7 i H( s 在每个管理员操作文件的开头加上 " w V& W$ w" J" t<!--#include file="cookies.asp" --> 这样就可以预防非法登陆了：） 我们经常看到验证码这样的东西，这样做是为了预防暴力破解。 8 U& p- |+ m. k$ Y- b实现方法，假设登入为login.asp 我们在开头加： , `. b( `, s! ~- n# N' N<% , I& d% p, | S7 fdim p , x! u/ b! \$ L# c+ {. y- i$ orandomize ‘对随机数生成器做初始化的动作 - H2 c [6 W/ B) p; M Dp = Int((8999 * Rnd) + 1000) session("cntcode")=p %> 插入验证代码的表格 ; E9 a% \2 M4 f6 g4 E<tr> <td valign=middle>请输入验证码</td> * C4 B; v: k# ~/ s: u5 e# k7 a<td valign=middle> ' a( f! z/ B. Y+ D3 Q! t<INPUT name=yanzhen type=text> 在左边框输入: <%=session("cntcode")%></td></tr> / R9 N" ]0 @& L( j# F, F最后验证程序： <% if request("yanzhen")="" or trim(session("cntcode")) <>trim(replace(request("yanzhen"),"","")) then - q6 S7 _' f7 I7 E; ]' Tresponse.write " 请正确输入您的验证码。" response.end + r5 C! ^2 o* Z$ P% }else %> % N# Q8 [' l: e) a3 N. D' s程序运行效果如图2： ' h& X& ]$ q# T2 y0 y三：数据库安全 爆库的方法越来越多，我们来看下：如图3 ( h* e7 \) a4 Q2 N7 H0 n按X档案以前文章一位大侠说的，将/替换为 %5c，确实很多网站都存在这样的漏洞。大家可以清楚的看到数据库地址。 9 n7 D4 E6 b* K! a偶什么方法可以预防呢？ " ` P* u1 n O1 j4 z8 O6 N# \0 j。。。（代码见杂志）。。。。。。。。。。。 $ W6 u& h7 v+ e' W4 N2 N 这是一个数据库连接文件，大部分为conn.asp ) z) E& e( X- M; d- @) r! G关键在与on error resume next出错了也执行下一句 4 q2 N) V4 \4 z7 e W我们看下他的运行效果。 # {! [. _6 K5 _; J- J ' A5 G9 n/ |! m! V 7 ^4 b: b% y% X* [" u9 I4 N0 T除了图片显示不正常外，没暴露数据库：） 其实浪心建议用WIN2003做服务器，当你用%5c 来替换的时候 _blank>http://127.0.0.1/fourm.asp?cntid=4 自动换成%5cfourm.asp/多个/ * A; D; i) S" p$ f7 R; m_blank>http://127.0.0.1%5cfourm.asp/?cntid=4 ( S) G- v0 L" J/ [找不到服务器，唯一的结果，更厉害：） 还有一种方法就是不让对方下载数据库 方法是 6 N. {0 a$ h0 g z4 e, E( r9 @新建一个notdown表，字段为nodown, 数据类型为ole 如图4 5 E% g( y, R3 n9 A: r 5 ~! y, c5 @0 D保存为mdb.mdb OK，我们写个nodown.asp 代码如下 。。。（代码见杂志）。。。。。。。。。。。 # s0 c+ U6 c/ h6 L& ]把他同数据库一同上传到你的空间，或者本地做个IIS，运行nodown.asp 提示添加记录成功。 OK，把数据库重新命名为mdb.asp 3 m; c3 X" d7 W9 B. ` |直接在浏览器里输入数据库地址：提示 Active Server Pages 错误 ASP 0116 8 a, r" r1 b5 Z2 l9 M3 \: a丢失脚本关闭分隔符 /bbs/cntlovebbs.asp，行 44042 Script 块缺少脚本关闭标记(%>)。 2 u. f5 d7 f4 f用快车下载提示HTTP 500错误 OK到这里数据库安全也过去了：）下面说下浪心新的思维：）没任何技术难度，会VB的都会写：） 四：安全的后台登入 / i: B' }+ L2 V1 R* P7 |" i3 s。。。（代码见杂志）。。。。。。。。。。。 3 t4 n5 [9 Q6 o; P3 }6 f4 BOK了：）程序简单的出奇，他的功能可不小哦：）你的网站可以比以前安全许多。 & S1 n4 i# w9 V! L