SQL注入攻击零距离

韩冰

来源：http://www.17nc.com/

一次次的SQL注射入侵，一次次的网站被黑，总是那句话，漏洞在所难免，难道一点办法都没吗？这篇文章就是为大家解析下SQL注 射的原理，以及给出一些预防方法。 一：基础篇 分析下漏洞产生的原因，主要还是参数没完全过滤。 # R5 E: S' J0 @$ N( H. t2 _5 \cntid = Request("cntid") # J0 l) {0 D r0 }) y这样的语句就存在一个注入攻击，首先，没验证是否为整数 解决方法： <% dim cntid cntid =replace(request("cntid "),"","") if (not isnumeric(cntid)) then ' c+ d. X) ~* u" x/ z; i, Jcall error response.end 1 J8 p( d% n$ w4 ~- ?! Xend if 3 f0 A6 ]( k, s% s- Bsub Error() response.write " <table align=center width=300 border=0 cellpadding=4 cellspacing=0 >" # _( K) c; M+ Z4 ]% H* l3 ^+ k( gresponse.write " <tr > " # N# |2 b1 K- a5 l3 y7 Q) U Sresponse.write " <td colspan=2 height=15> " response.write " <div align=center> 操作: 参数错误!</div>" 6 d+ X/ u3 a/ B8 q9 }( X- r x+ rresponse.write " </td>" 2 c7 o' N8 Q/ H$ Q% n5 lresponse.write " </tr>" response.write " <tr> " response.write " <td colspan=2 height=23> " response.write " <div align=center><br><br>" ) L0 S; b' ~: _4 nresponse.write " 参数错误!!!非法探测已经被记录 <br><br>" ) y9 j$ {/ Z8 M q& e6 T" A6 Hresponse.write " <a href=javascriptnclick=history.go(-1)>返回</a>" response.write " <br><br></div></td>" 7 U$ [! d* l0 \& n) zresponse.write " </tr> </table></body></html>" end sub 5 M& s6 K# v0 v- V9 q%> ' E! F) q" f. ~, _. m. T 2 r8 v3 ]7 M3 L! M这是一个最基础的过滤，如果提交非法参数效果如图1： # O c% O( Z" W Y5 ]. p6 ` 2 {( ]- a0 v% {7 o" a* p3 s& I 那么我们还需要注意什么？ 用户名的注册，必须过滤掉一些特殊符号，继续刚才的话题，我们假设是username. 4 x0 w! D; l i# P" ~* F<% dim username username =replace(request("username "),"","") if Instr(username,"=")>0 or Instr(username,"%")>0 or Instr(username,chr(32))>0 or Instr(username,"?")>0 or Instr(username,"&")>0 or Instr(username,";")>0 or Instr(username,",")>0 or Instr(username,"")>0 or Instr(username,",")>0 or Instr (username,chr(34))>0 or Instr(username,chr(9))>0 or Instr(username,"?")>0 or Instr(username,">")>0 or Instr(username,"<")>0 or Instr(username,"$")>0 or Instr ) U; D: K9 v& Y+ o" H(username,"#")>0 or Instr(username,"@")>0 then call error ( ]! Z* H2 r( Y9 }. `0 m' T! Yresponse.end end if 2 x5 }) x# \0 l( O _9 w: m9 Z- U3 [sub Error() response.write " <table align=center width=300 border=0 cellpadding=4 cellspacing=0 >" ; @8 o( Z* U3 Z# D0 bresponse.write " <tr > " response.write " <td colspan=2 height=15> " 9 ?$ T! U, \- Y% Tresponse.write " <div align=center>操作: 参数错 5 M, r( N# g! p0 _+ d: f4 X误!</div>" response.write " </td>" 4 g& c1 n' w. ^; ?* f# n: @response.write " </tr>" response.write " <tr> " response.write " <td colspan=2 height=23> " response.write " <div align=center><br><br>" response.write " 用户名中含有非法字符(“=”,“%”, ( N7 P4 t/ t$ W* s. G( {! K2 g“?”,“&”,“;”,“,”,“”,”?”,“>”,“<”,“$”,“#”,“@”) <br><br>" + K0 J: V/ T' Y, P, S4 }9 Wresponse.write " <a href=javascriptnclick=history.go(-1)>返回</a>" 5 _6 e9 b8 |& b! nresponse.write " <br><br></div></td>" response.write " </tr> </table></body></html>" 8 g9 E8 D" g9 ?5 O! t! |1 \end sub %> 利用这个原理，我们还能过滤一些可能存在cookies跨站脚本的地方： 只要过滤cookie，java这样的字眼，方法同上。需要注意的事，类似与用户登陆的地方，用户名一定要username =replace(request("username "),"","")，意思就是把’过滤成”，这样做的目的就是预防’ or ‘’=’这样的入侵。 可是如果类似www.xx.com/list.asp? action = search 我们可以这样过滤 <% action=request("action") & t. l2 O$ c" k2 E ~. M# a0 Xselect case action ( ~5 B- z% \! b+ Gcase "search" call search() - e7 y4 @) Z6 z7 V/ k6 Ocase else call search() end select $ G& ?& @; D, y4 Gsub search () 这里是search的内容 end sub # O1 u2 G' m) o6 ]1 }0 V%> + g% r+ H" s$ `大家可以看到无论对错，都执行search。这样也可以预防SQL。 . }6 x+ n0 l0 h7 M二：密码安全 $ r( e$ A |9 _/ Q* K7 I采用不可逆加密是必须的选择，防止别人探测到密码后暴力破解，MD5用艿氖迪址浅＜虻ィ?姹闳フ腋鯩D5函数体，很多源代码都 带。 - s+ U2 d6 [% J* A- @& l6 G<!-- #include file=" md5.asp" --> 这里是引入MD5函数 6 m7 C! F) y9 [<% dim username 1 O. P( Q! \4 m% Q( Ausername =md5(md5(replace(request("username "),"",""))) 5 Q( f8 O: X# C0 h- B1 a" g, |* [%> # [7 M! F0 l7 h- F4 e1 l% ^1 b这里就实现了2次MD5加密，一般2-3次就足够了，暴力破解比较困难：） COOKIES欺骗问题很严重，所以一般后台管理员一定要session验证。实现方法 我们在登入成功后写入 session("btadmin")=rsadmin("admin") : _7 r6 _, c" Q- {* I建立一个验证函数cookies.asp 内容如下 1 n; f9 q: r' f, [& a9 b6 |# _<% if session("btadmin")="" then i5 _* q. \6 V% Aresponse.redirect "admin.asp" end if 7 g! c; _* Y1 _& Z. S; r" A: D%> 在每个管理员操作文件的开头加上 <!--#include file="cookies.asp" --> & E$ |" G5 b% k这样就可以预防非法登陆了：） + f$ ~: F Q5 Z6 n- a# a& A. A+ w我们经常看到验证码这样的东西，这样做是为了预防暴力破解。 2 B& K) d1 v* f) n! D6 b' Q实现方法，假设登入为login.asp 9 r8 T( x0 {8 f& ]( E我们在开头加： <% dim p % n" j9 A. y6 H- U! t5 y2 arandomize ‘对随机数生成器做初始化的动作 p = Int((8999 * Rnd) + 1000) `( t& j- G( \6 @session("cntcode")=p %> 0 n3 w/ j0 \6 @2 w2 v) }$ U- m 插入验证代码的表格 1 f* Q; t9 I' z) ^6 m- z% @% h l<tr> <td valign=middle>请输入验证码</td> 6 v$ } C$ N/ S( T<td valign=middle> / ]/ H, K u& {1 b$ a. }; A<INPUT name=yanzhen type=text> $ ^4 [$ ^4 Q/ q在左边框输入: <%=session("cntcode")%></td></tr> + |. O4 i5 I: n" i! T5 G. y0 o5 r % J# Y' P9 `- D4 m; E% p最后验证程序： + L8 {. z; x( W5 Q# }& q- r$ X<% # c* s- O( r6 h. ]+ I$ P- t0 W4 ?if request("yanzhen")="" or trim(session("cntcode")) 4 z# D A3 X: W<>trim(replace(request("yanzhen"),"","")) then response.write " 请正确输入您的验证码。" response.end 4 Q4 o! ?2 T6 }$ r5 [1 delse 6 i8 }) p+ Q0 |) a u%> 程序运行效果如图2： $ ~4 T- y, ?/ P v3 I4 m$ s/ c7 R1 R 三：数据库安全 1 i: e' A: v% t" F( S% l- C爆库的方法越来越多，我们来看下：如图3 - @% t8 y$ v7 |& l% d A- G* x ) j9 M8 V& E) c3 }按X档案以前文章一位大侠说的，将/替换为 %5c，确实很多网站都存在这样的漏洞。大家可以清楚的看到数据库地址。 偶什么方法可以预防呢？ 。。。（代码见杂志）。。。。。。。。。。。 ' o( C) ~% y6 D3 ~, ~- q这是一个数据库连接文件，大部分为conn.asp 关键在与on error resume next出错了也执行下一句 我们看下他的运行效果。 6 v1 X4 T) i7 R4 l( e& R& f除了图片显示不正常外，没暴露数据库：） 其实浪心建议用WIN2003做服务器，当你用%5c 来替换的时候 _blank>http://127.0.0.1/fourm.asp?cntid=4 自动换成%5cfourm.asp/多个/ $ s5 q# q/ k7 w! Y6 d_blank>http://127.0.0.1%5cfourm.asp/?cntid=4 7 j3 |( D0 H) h0 |找不到服务器，唯一的结果，更厉害：） 3 n6 }+ \5 d y: `( p4 n- e还有一种方法就是不让对方下载数据库 # [5 e, n/ c k0 G6 j方法是 新建一个notdown表，字段为nodown, 数据类型为ole 如图4 2 z. [. ]3 a+ _ 2 G0 r5 [) N# J1 J! n保存为mdb.mdb 5 L" S9 z7 J* T+ ^3 F- G+ LOK，我们写个nodown.asp 9 ] n& p8 N# h2 L" A代码如下 。。。（代码见杂志）。。。。。。。。。。。 * u: D3 b8 u3 O) `把他同数据库一同上传到你的空间，或者本地做个IIS，运行nodown.asp 4 z) X: _0 V3 P1 s( {& z% e4 z提示添加记录成功。 OK，把数据库重新命名为mdb.asp 0 [) E4 m: q- ^; T直接在浏览器里输入数据库地址：提示 * T1 s* T2 d6 C( s H) ?) vActive Server Pages 错误 ASP 0116 $ |3 r6 @4 h* C丢失脚本关闭分隔符 / ~) Y8 [$ k! B- r7 O; j/bbs/cntlovebbs.asp，行 44042 / y* B7 ~2 H/ Y1 e4 ?Script 块缺少脚本关闭标记(%>)。 " B+ }: E9 w9 @7 x$ ]. J3 ]9 o用快车下载提示HTTP 500错误 7 [! I- F, C- n4 }$ q7 COK到这里数据库安全也过去了：）下面说下浪心新的思维：）没任何技术难度，会VB的都会写：） 1 \" c9 T' U3 x. Z$ r7 n& r四：安全的后台登入 % p K) A0 V( M: `$ }7 M。。。（代码见杂志）。。。。。。。。。。。 OK了：）程序简单的出奇，他的功能可不小哦：）你的网站可以比以前安全许多。