一
什麼是SQL注入式攻擊?
所謂SQL注入式攻擊就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串欺騙服務器執行惡意的SQL命令在某些表單中用戶輸入的內容直接用來構造(或者影響)動態SQL命令或作為存儲過程的輸入參數這類表單特別容易受到SQL注入式攻擊常見的SQL注入式攻擊過程類如
⑴ 某個 Web應用有一個登錄頁面這個登錄頁面控制著用戶是否有權訪問應用它要求用戶輸入一個名稱和密碼
⑵ 登錄頁面中輸入的內容將直接用來構造動態的SQL命令或者直接用作存儲過程的參數下面是ASPNET應用構造查詢的一個例子
SystemTextStringBuilder query = new SystemTextStringBuilder(
SELECT * from Users WHERE login = )
Append(txtLoginText)Append( AND password=)
Append(txtPasswordText)Append();
⑶ 攻擊者在用戶名字和密碼輸入框中輸入或=之類的內容
⑷ 用戶輸入的內容提交給服務器之後服務器運行上面的ASPNET代碼構造出查詢用戶的SQL命令但由於攻擊者輸入的內容非常特殊所以最後得到的SQL命令變成SELECT * from Users WHERE login = or = AND password = or =
⑸ 服務器執行查詢或存儲過程將用戶輸入的身份信息和服務器中保存的身份信息進行對比
⑹ 由於SQL命令實際上已被注入式攻擊修改已經不能真正驗證用戶身份所以系統會錯誤地授權給攻擊者
如果攻擊者知道應用會將表單中輸入的內容直接用於驗證身份的查詢他就會嘗試輸入某些特殊的SQL字符串篡改查詢改變其原來的功能欺騙系統授予訪問權限
系統環境不同攻擊者可能造成的損害也不同這主要由應用訪問數據庫的安全權限決定如果用戶的帳戶具有管理員或其他比較高級的權限攻擊者就可能對數據庫的表執行各種他想要做的操作包括添加刪除或更新數據甚至可能直接刪除表
二如何防范?
好在要防止ASPNET應用被SQL注入式攻擊闖入並不是一件特別困難的事情只要在利用表單輸入的內容構造SQL命令之前把所有輸入內容過濾一番就可以了過濾輸入內容可以按多種方式進行
⑴ 對於動態構造SQL查詢的場合可以使用下面的技術
第一替換單引號即把所有單獨出現的單引號改成兩個單引號防止攻擊者修改SQL命令的含義再來看前面的例子SELECT * from Users WHERE login = or = AND password = or =顯然會得到與SELECT * from Users WHERE login = or = AND password = or =不同的結果
第二刪除用戶輸入內容中的所有連字符防止攻擊者構造出類如SELECT * from Users WHERE login = mas AND password =之類的查詢因為這類查詢的後半部分已經被注釋掉不再有效攻擊者只要知道一個合法的用戶登錄名稱根本不需要知道用戶的密碼就可以順利獲得訪問權限
第三對於用來執行查詢的數據庫帳戶限制其權限用不同的用戶帳戶執行查詢插入更新刪除操作由於隔離了不同帳戶可執行的操作因而也就防止了原本用於執行SELECT命令的地方卻被用於執行INSERTUPDATE或DELETE命令
⑵ 用存儲過程來執行所有的查詢SQL參數的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊此外它還使得數據庫權限可以限制到只允許特定的存儲過程執行所有的用戶輸入必須遵從被調用的存儲過程的安全上下文這樣就很難再發生注入式攻擊了
⑶ 限制表單或查詢字符串輸入的長度如果用戶的登錄名字最多只有個字符那麼不要認可表單中輸入的個以上的字符這將大大增加攻擊者在SQL命令中插入有害代碼的難度
⑷ 檢查用戶輸入的合法性確信輸入的內容只包含合法的數據數據檢查應當在客戶端和服務器端都執行——之所以要執行服務器端驗證是為了彌補客戶端驗證機制脆弱的安全性
在客戶端攻擊者完全有可能獲得網頁的源代碼修改驗證合法性的腳本(或者直接刪除腳本)然後將非法內容通過修改後的表單提交給服務器因此要保證驗證操作確實已經執行唯一的辦法就是在服務器端也執行驗證你可以使用許多內建的驗證對象例如RegularExpressionValidator它們能夠自動生成驗證用的客戶端腳本當然你也可以插入服務器端的方法調用如果找不到現成的驗證對象
你可以通過CustomValidator自己創建一個
⑸ 將用戶登錄名稱密碼等數據加密保存加密用戶輸入的數據然後再將它與數據庫中保存的數據比較這相當於對用戶輸入的數據進行了消毒處理用戶輸入的數據不再對數據庫有任何特殊的意義從而也就防止了攻擊者注入SQL命令SystemWebSecurityFormsAuthentication類有一個HashPasswordForStoringInConfigFile非常適合於對輸入數據進行消毒處理
⑹ 檢查提取數據的查詢所返回的記錄數量如果程序只要求返回一個記錄但實際返回的記錄卻超過一行那就當作出錯處理
From:http://tw.wingwit.com/Article/program/net/201311/13891.html
