QQ登录

只需要一步,快速开始

 注册地址  找回密码
查看: 3076|回复: 0
打印 上一主题 下一主题

URL编码与SQL注射

[复制链接]
字体大小: 正常 放大
韩冰        

823

主题

3

听众

4048

积分

我的地盘我做主

该用户从未签到

发帖功臣 元老勋章

跳转到指定楼层
1#
发表于 2004-11-22 23:43 |只看该作者 |倒序浏览
|招呼Ta 关注Ta
<>说到url编码,你或许会想起N年前的url编码漏洞。可惜我是"生不逢时"啊,我接触网络时,那个漏洞早就绝迹咯。- `" g# D/ Y0 }  L$ G2 y9 s/ \

$ v+ O+ a& m* H7 u! G& [言归正传,URL 编码是什么东东呢?看看我从网上抄的定义:
  B/ L# O! G$ T" |! U, Y8 \( x. I3 W
引用: </P>
5 H' `8 V. w& eurl编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值 ,将它们以name/value参数编码(移去那些不能传送的字符, 将数据排行等等)作为URL的一部分或者分离地发给服务器。不管哪种情况, 在服务器端的表单输入格式样子象这样: ' k5 K1 P! j( t: I

: i. y4 Q1 R: e! `9 S% ?theName=Ichabod+Crane&amp;gender=male&amp;status=missing&amp;headless=yes
7 P7 `8 S; V4 W, Y$ c* \3 Q# j) l2 {' |8 X
URL编码遵循下列规则: 每对name/value由&amp;符分开;每对来自表单的name/value由=符分开。如果用户没有输入值给这个name,那么这个name还是出现,只是无值。任何特殊的字符(就是那些不是简单的七位ASCII,如汉字)将以百分符%用十六进制编码,当然也包括象 =, &amp;, 和 % 这些特殊的字符。% D* @2 N7 @/ B1 |* d, K
  O* e+ r2 C% ~: `& I/ C% V# V
呵呵,明白了吧,其实url编码就是一个字符ascii码的十六进制。不过稍微有些变动,需要在前面加上"%"。比如"\",它的ascii码是92,92的十六进制是5c,所以"\"的url编码就是%5c。那么汉字的url编码呢?很简单,看例子:"胡"的ascii码是-17670,十六进制是BAFA,url编码是"%BA%FA"。呵呵,知道怎么转换的了吧。' W/ \. Y! Z2 S/ u* ?" A1 T* b7 X' v
( D7 T* T( G: ]
URL编码平时我们是用不到的,因为IE会自动将你输入到地址栏的非数字字母转换为url编码。所以对于浏览器来说http://blog.csdn.net/l%61ke2与http://blog.csdn.net/lake2是等效的(注意,第一个url我用%61替换了a)。呵呵,或许你已经想起了,有人提出数据库名字里带上"#"以防止被下载,因为IE遇到#就会忽略后面的字母。破解方法很简单——用url编码%23替换掉#。我本来企图利用url编码来躲过注射检查的,不过失败了,因为服务器端会将url编码转换成字符的。, N; I) C# j7 `% X& w! C" v
6 D9 R2 n. z" A4 u  v- ~& |
等等,好像跑题了啊,呵呵,不好意思:)# m  y, g7 b- V1 t1 O* |, {

4 a* i3 n/ P  o现在SQL注射非常流行,所以就有人写了一些防注射的脚本。当然啦,思路不一样,效果大不同。各位看官请看下面的××SQL通用防注入asp版部分代码。. [$ z6 V$ X. n4 d) l: }0 y2 _
( Y1 T4 N; d7 C4 Q& ^
Fy_Url=Request.ServerVariables("QUERY_STRING")
0 u  q! v1 v8 p' HFy_a=split(Fy_Url,"&amp;")) G% @  Q4 x; u, h
redim Fy_Cs(ubound(Fy_a)); r. \3 J7 i6 x1 Q0 p
On Error Resume Next# b: N! ^0 Q0 B
for Fy_x=0 to ubound(Fy_a)4 o5 f4 s3 a: ?$ O, `' D
Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),"=")-1)8 a9 P# L; T  B& K% H
Next
6 i2 i) a/ e: ^For Fy_x=0 to ubound(Fy_Cs). z$ G* V+ j! d2 T
If Fy_Cs(Fy_x)&lt;&gt;"" Then1 ~) E, C3 Q0 `" D7 N
If Instr(LCase(Request(Fy_Cs(Fy_x))),"and")&lt;&gt;0 then/ d5 _5 x, J4 g8 |
Response.Write "出现错误!"! w( ]4 \0 w& G" D2 ?
Response.End
* p/ p" A: n, x: DEnd If
+ H. w) F+ v+ vEnd If5 J9 U( W/ M. l. B6 a  k
Next
8 x0 o# k' s  B( K+ N) W  V& X
$ i+ I$ T1 w. F1 C0 Z8 O% c; Y
它的思路就是先获得提交的数据,以"&amp;"为分界获得并处理name/value组,然后判断value里是否含有定义的关键字(这里为求简便,我只留下了"and"),有之,则为注射。# U/ h3 b, V2 t# K' _7 _0 i! e2 O# B( r
5 O- F2 _5 ]' X+ A, T
乍一看去,value被检查了,似乎没有问题。呵呵,是的,value不会有问题,可是,name呢?; r7 w& g, B& |" ?6 U8 S7 b

% i" M3 C' n4 Z/ @0 l8 p# V3 ?它的name/value组值来自于Request.ServerVariables("QUERY_STRING"),呵呵,不好意思,这里出问题了。Request.ServerVariables("QUERY_STRING")是得到客户端提交的字符串,这里并不会自动转换url编码,哈哈,如果我们把name进行url编码再提交的话,呵呵,那就可以绕过检查了。比如参数是ph4nt0m=lake2 and lis0,此时程序能够检测到;如果提交%50h4nt0m=lake2 and lis0(对p进行url编码),程序就会去判断%50h4nt0m的值,而%50h4nt0m会被转换为ph4nt0m,所以%50h4nt0m值为空,于是就绕过了检测。
- {+ t" M! C3 q" o+ y# |' r
- k7 @$ ?+ \+ L1 p1 L6 D4 a等等,为什么既然name不解码可以绕过检查而value就不能绕过呢?因为value的值取自Request(Fy_Cs(Fy_x)),这个服务器就会解码的。. K9 ]$ ?, {  W% g- `

; N/ l, s: Y  p& F1 Q% j! @程序怎么改进呢?只要能够得到客户端提交的数据是解码后的就可以了,把得到name的语句改为For Each SubmitName In Request.QueryString就可以了。
7 i3 l% t/ n5 J# `6 c4 Q2 [& J9 A9 z* J" H
呵呵,谢谢阁下耐着性子看完我的文章^_^
zan
转播转播0 分享淘帖0 分享分享0 收藏收藏0 支持支持0 反对反对0 微信微信
您需要登录后才可以回帖 登录 | 注册地址

qq
收缩
  • 电话咨询

  • 04714969085
fastpost

关于我们| 联系我们| 诚征英才| 对外合作| 产品服务| QQ

手机版|Archiver| |繁體中文 手机客户端  

蒙公网安备 15010502000194号

Powered by Discuz! X2.5   © 2001-2013 数学建模网-数学中国 ( 蒙ICP备14002410号-3 蒙BBS备-0002号 )     论坛法律顾问:王兆丰

GMT+8, 2026-4-17 21:05 , Processed in 0.545581 second(s), 52 queries .

回顶部