SQL注入攻击零距离

韩冰

SQL注入攻击零距离

来源：http://www.17nc.com/

一次次的SQL注射入侵，一次次的网站被黑，总是那句话，漏洞在所难免，难道一点办法都没吗？这篇文章就是为大家解析下SQL注 射的原理，以及给出一些预防方法。 7 i) X, l- h7 ]* h一：基础篇 6 y8 D) Z2 A- R- k6 y分析下漏洞产生的原因，主要还是参数没完全过滤。 % `) _& p; z; ?+ K6 S% U" Zcntid = Request("cntid") 这样的语句就存在一个注入攻击，首先，没验证是否为整数 解决方法： 3 P4 l. R* O3 S6 `) ^$ j<% dim cntid cntid =replace(request("cntid "),"","") 9 \, I, X3 c8 ?# ^if (not isnumeric(cntid)) then call error response.end ' V7 @$ _' l# q* Jend if sub Error() response.write " <table align=center width=300 border=0 cellpadding=4 cellspacing=0 >" response.write " <tr > " : k$ V: ]! ~9 e: u5 A5 Z4 C0 hresponse.write " <td colspan=2 height=15> " response.write " <div align=center> 5 H2 Z$ G [0 l X操作: 参数错误!</div>" response.write " </td>" response.write " </tr>" 6 u' l: {" o4 \) T/ N7 D. Y; a$ mresponse.write " <tr> " - D$ z& G4 R; b: Hresponse.write " <td colspan=2 height=23> " ) m- ?; k' b; Y+ B! r. yresponse.write " <div align=center><br><br>" response.write " 参数错误!!!非法探测已经被记录 <br><br>" response.write " <a href=javascriptnclick=history.go(-1)>返回</a>" , K3 |; }# O( Aresponse.write " <br><br></div></td>" response.write " </tr> </table></body></html>" 7 a+ S) j" D+ {: V* nend sub %> + z4 R3 r( K' m* u% K& \- z' T - g' U$ E0 O( g这是一个最基础的过滤，如果提交非法参数效果如图1： + e6 H3 R- {5 ~; E( M 6 Y7 U+ @) y$ i% \那么我们还需要注意什么？ " X1 W0 [8 y: {" K! H m用户名的注册，必须过滤掉一些特殊符号，继续刚才的话题，我们假设是username. <% dim username username =replace(request("username "),"","") : \2 T V2 W' t Y N2 fif Instr(username,"=")>0 or Instr(username,"%")>0 or Instr(username,chr(32))>0 or Instr(username,"?")>0 or Instr(username,"&")>0 or Instr(username,";")>0 or ( n) T( u/ o, Y% nInstr(username,",")>0 or Instr(username,"")>0 or Instr(username,",")>0 or Instr 5 E& \& K8 l; C7 r# Y" ?(username,chr(34))>0 or Instr(username,chr(9))>0 or Instr(username,"?")>0 or Instr(username,">")>0 or Instr(username,"<")>0 or Instr(username,"$")>0 or Instr 6 X' w: Q8 ^' H# p. B) z(username,"#")>0 or Instr(username,"@")>0 then " S7 C9 X0 \0 x' |/ v6 { 6 x0 T) ^6 l, X& }8 ?call error 8 u* u# U: b& i; Hresponse.end 5 F3 \; |$ B. C' b# y0 ]2 n Kend if sub Error() 2 M- n% U! \% C0 g5 ^- |" Hresponse.write " <table align=center width=300 border=0 + G$ P2 Z) p! e/ \% }cellpadding=4 cellspacing=0 >" response.write " <tr > " / u$ ~+ [, U, d, dresponse.write " <td colspan=2 height=15> " 2 b* p9 d3 T0 x6 _response.write " <div align=center>操作: 参数错 $ H' t/ J% Z1 l1 J* U6 U误!</div>" response.write " </td>" response.write " </tr>" 8 H3 f+ P( B/ L3 L, hresponse.write " <tr> " 8 D" p: Z' d& \" ^# t T" G. S; hresponse.write " <td colspan=2 height=23> " . z# F% q) D+ a9 z4 U, V( N2 e7 Hresponse.write " <div align=center><br><br>" response.write " 用户名中含有非法字符(“=”,“%”, “?”,“&”,“;”,“,”,“”,”?”,“>”,“<”,“$”,“#”,“@”) <br><br>" response.write " <a href=javascriptnclick=history.go(-1)>返回</a>" response.write " <br><br></div></td>" response.write " </tr> </table></body></html>" end sub - p' u+ G" Q' ?- v( r%> 0 p3 _3 K- J- r, g( V% {1 H利用这个原理，我们还能过滤一些可能存在cookies跨站脚本的地方： 5 I. o& \& m' y+ P D2 j只要过滤cookie，java这样的字眼，方法同上。需要注意的事，类似与用户登陆的地方，用户名一定要username =replace(request("username "),"","")，意思就是把’过滤成”，这样做的目的就是预防’ or ‘’=’这样的入侵。 ! F$ l U! Z) _可是如果类似www.xx.com/list.asp? action = search ; w, `8 s, E. B3 i我们可以这样过滤 : I5 V' X/ a4 |5 u/ `<% action=request("action") / Q- u. Q- u2 H2 K& ~: a4 t) qselect case action case "search" call search() 0 u( R& t8 j$ z3 {/ ^, z7 D Vcase else call search() ( U% K) R- e6 a! V6 W; \! T3 T/ fend select 8 e- @/ u, {7 Hsub search () 这里是search的内容 3 p- H* d" e7 C/ A( @: `4 ?end sub %> 大家可以看到无论对错，都执行search。这样也可以预防SQL。 * B4 N) M: S- h( n. J- a) a. `" U二：密码安全 - g% ` m8 M& e3 f0 x6 r3 J# L9 Q3 s% [$ S采用不可逆加密是必须的选择，防止别人探测到密码后暴力破解，MD5用艿氖迪址浅＜虻ィ?姹闳フ腋鯩D5函数体，很多源代码都 带。 ( n/ |1 @/ C% A<!-- #include file=" md5.asp" --> 这里是引入MD5函数 <% dim username username =md5(md5(replace(request("username "),"",""))) ! k1 p9 J q7 P6 [%> 这里就实现了2次MD5加密，一般2-3次就足够了，暴力破解比较困难：） ' C1 j m+ B9 n( B% RCOOKIES欺骗问题很严重，所以一般后台管理员一定要session验证。实现方法 3 C' X6 e& o; x# n9 ?- ?我们在登入成功后写入 session("btadmin")=rsadmin("admin") - j1 N! G' C, J+ u建立一个验证函数cookies.asp 内容如下 <% ( B! y' ]4 |! Y3 f4 d7 @4 ]! zif session("btadmin")="" then ! T* y3 w: c) o$ r4 R% Oresponse.redirect "admin.asp" , K) L% h& ?2 ~( d4 [end if %> " y7 `4 l% ~, o, _ 在每个管理员操作文件的开头加上 <!--#include file="cookies.asp" --> 这样就可以预防非法登陆了：） ?2 S1 W' j' o/ H- H8 k) l我们经常看到验证码这样的东西，这样做是为了预防暴力破解。 # y/ u( s- S( K8 i" r0 }实现方法，假设登入为login.asp 我们在开头加： . p3 k0 |9 ^$ V8 p# ]4 [<% ! g c# |9 j( J1 @3 xdim p # q: H* k, d% {8 e) x/ h6 Erandomize ‘对随机数生成器做初始化的动作 , H5 d; n# G) \( j" a: `9 dp = Int((8999 * Rnd) + 1000) . r0 u, s5 G6 ]4 P+ ]session("cntcode")=p %> 插入验证代码的表格 1 F3 {4 s. S1 O: q<tr> <td valign=middle>请输入验证码</td> * i9 E+ W+ O; T* T' U<td valign=middle> <INPUT name=yanzhen type=text> 在左边框输入: <%=session("cntcode")%></td></tr> 8 i2 [ _- s- W" Z9 |/ h" A) A最后验证程序： <% & Y+ F' F7 ?$ `+ r/ Qif request("yanzhen")="" or trim(session("cntcode")) <>trim(replace(request("yanzhen"),"","")) then response.write " 请正确输入您的验证码。" response.end else 3 X1 N5 \- R: N1 O U%> , A u; D6 E) |( r. K6 V3 f程序运行效果如图2： 7 g* u1 J' B2 [2 q% D" q+ ^ 4 d3 t! [4 N7 Y2 i2 g" _2 X三：数据库安全 1 B2 c% U5 q: f' g0 \4 o爆库的方法越来越多，我们来看下：如图3 按X档案以前文章一位大侠说的，将/替换为 %5c，确实很多网站都存在这样的漏洞。大家可以清楚的看到数据库地址。 偶什么方法可以预防呢？ 9 H& z/ b! G( u6 i。。。（代码见杂志）。。。。。。。。。。。 & }8 ^2 A J- K. e0 _ m 8 L9 ~% ^* o0 l# P) J这是一个数据库连接文件，大部分为conn.asp ; H' l5 t- q( p$ w9 Q关键在与on error resume next出错了也执行下一句 我们看下他的运行效果。 % P4 q( g1 R; {" x& f( E- v7 v - z s1 E8 n' o6 v9 P2 Z3 v # P* ~5 l/ P- j2 P+ Z8 X6 g* h除了图片显示不正常外，没暴露数据库：） 其实浪心建议用WIN2003做服务器，当你用%5c 来替换的时候 9 R$ y( A1 M; A2 r/ Y; f_blank>http://127.0.0.1/fourm.asp?cntid=4 自动换成%5cfourm.asp/多个/ 2 p" p3 i/ L) t& X: V7 r" ]+ k_blank>http://127.0.0.1%5cfourm.asp/?cntid=4 找不到服务器，唯一的结果，更厉害：） 还有一种方法就是不让对方下载数据库 U2 a/ Z3 j& ?3 ?' S& T& ]方法是 新建一个notdown表，字段为nodown, 数据类型为ole 如图4 . j9 x1 U7 s* ~保存为mdb.mdb ! P9 @2 q3 q2 v4 }9 q2 z; {$ m( POK，我们写个nodown.asp / J9 N' [6 c$ m9 x1 m8 _2 a代码如下 。。。（代码见杂志）。。。。。。。。。。。 把他同数据库一同上传到你的空间，或者本地做个IIS，运行nodown.asp * G8 E0 T$ h5 W& K提示添加记录成功。 / u+ s: @* U) v9 q* k! {OK，把数据库重新命名为mdb.asp , I+ e1 j' D' S4 Q9 g6 \2 F% {直接在浏览器里输入数据库地址：提示 Active Server Pages 错误 ASP 0116 $ p4 c8 b* N$ ]3 L3 \6 l丢失脚本关闭分隔符 6 i- @. A0 T1 ]# |3 s/bbs/cntlovebbs.asp，行 44042 + o& j- u R1 J+ K4 jScript 块缺少脚本关闭标记(%>)。 7 @' P* e9 W2 k9 G用快车下载提示HTTP 500错误 OK到这里数据库安全也过去了：）下面说下浪心新的思维：）没任何技术难度，会VB的都会写：） . Y7 w1 {: U& }0 @四：安全的后台登入 ; V/ G: ?# h1 G5 f; V7 G5 X8 h。。。（代码见杂志）。。。。。。。。。。。 : o) [5 U0 ?4 W* n OK了：）程序简单的出奇，他的功能可不小哦：）你的网站可以比以前安全许多。 , \! h: a9 ]2 G' r/ [4 k) j, z* J8 N