自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

基于約束條件的SQL攻擊

作者:shan66
安全 數(shù)據(jù)安全
在本文中,作者為讀者介紹另一種與SQL數(shù)據(jù)庫相關(guān)的漏洞,雖然它的危害性與SQL注入不相上下,但目前卻很少為人所知。接下來,我將為讀者詳細(xì)展示這種攻擊手法,以及相應(yīng)的防御策略。

[[180513]]

引言

目前值得高興的是,開發(fā)者在建立網(wǎng)站時,已經(jīng)開始關(guān)注安全問題了——幾乎每個開發(fā)者都知道SQL注入漏洞了。在本文中,我將為讀者介紹另一種與SQL數(shù)據(jù)庫相關(guān)的漏洞,雖然它的危害性與SQL注入不相上下,但目前卻很少為人所知。接下來,我將為讀者詳細(xì)展示這種攻擊手法,以及相應(yīng)的防御策略。

背景知識

最近,我遇到了一段有趣的代碼,它嘗試盡一切可能來保護數(shù)據(jù)庫的訪問安全,例如每當(dāng)新用戶進行注冊時,將運行以下代碼:

  1. <?php 
  2. // Checking whether a user with the same username exists 
  3. $username = mysql_real_escape_string($_GET['username']); 
  4. $password = mysql_real_escape_string($_GET['password']); 
  5. $query = "SELECT *  
  6.           FROM users  
  7.           WHERE username='$username'"; 
  8. $res = mysql_query($query, $database); 
  9. if($res) {  
  10.   if(mysql_num_rows($res) > 0) { 
  11.     // User exists, exit gracefully 
  12.     . 
  13.     . 
  14.   } 
  15.   else { 
  16.     // If notonly then insert a new entry 
  17.     $query = "INSERT INTO users(username, password
  18.               VALUES ('$username','$password')"; 
  19.     . 
  20.     . 
  21.   } 

為了驗證登錄信息,將用到下列代碼:

  1. <?php 
  2. $username = mysql_real_escape_string($_GET['username']); 
  3. $password = mysql_real_escape_string($_GET['password']); 
  4. $query = "SELECT username FROM users 
  5.           WHERE username='$username' 
  6.               AND password='$password' "; 
  7. $res = mysql_query($query, $database); 
  8. if($res) { 
  9.   if(mysql_num_rows($res) > 0){ 
  10.       $row = mysql_fetch_assoc($res); 
  11.       return $row['username']; 
  12.   } 
  14. return Null

安全注意事項周全嗎?

過濾用戶輸入?yún)?shù)了嗎? - 檢查了

使用單引號(')來增加安全性了嗎? - 檢查了

很好,還有什么可能出錯的地方嗎?

是的,攻擊者依然能夠以任意用戶身份進行登錄!

攻擊手法

在談?wù)撨@種攻擊手法之前,首先需要介紹幾個至關(guān)重要的知識點。

1. 在處理SQL中的字符串時,字符串末尾的空格字符都會被刪除。換句話說,“vampire”與“vampire ”幾乎是等效的,這在大多數(shù)情況下是正確的,例如WHERE子句中的字符串或INSERT語句中的字符串。例如,以下語句的查詢結(jié)果,與使用用戶名“vampire”進行查詢時的結(jié)果是一樣的。

  1. SELECT * FROM users WHERE username='vampire '

但是,除此之外也確實存在例外情況,例如LIKE子句。注意,對尾部空白字符的這種修剪操作,主要是在“字符串比較”期間進行的。這是因為,SQL會在內(nèi)部使用空格來填充字符串,以便在比較之前使其它們的長度保持一致。

2. 在任意INSERT查詢中,SQL會根據(jù)varchar(n)來限制字符串的最大長度,也就是說,如果字符串的長度大于“n”個字符的話,那么僅使用字符串的前“n”個字符。例如,如果特定列的長度約束為“5”個字符,那么在插入字符串“vampire”時,實際上只能插入字符串的前5個字符,即“vampi”。

現(xiàn)在,讓我們建立一個測試數(shù)據(jù)庫來演示具體攻擊過程。

  1. vampire@linux:~$ mysql -u root -p 
  2. mysql> CREATE DATABASE testing; 
  3. Query OK, 1 row affected (0.03 sec) 
  4. mysql> USE testing; 
  5. Database changed 

我將創(chuàng)建一個數(shù)據(jù)表users,它有兩列,即username和password。并且,這兩個字段的最大長度為25個字符。接下來,我將插入一行記錄,其中以“vampire”作為用戶名,以“my_password”作為密碼。

  1. mysql> CREATE TABLE users ( 
  2.     ->   username varchar(25), 
  3.     ->   password varchar(25) 
  4.     -> ); 
  5. Query OK, 0 rows affected (0.09 sec) 
  6. mysql> INSERT INTO users 
  7.     -> VALUES('vampire''my_password'); 
  8. Query OK, 1 row affected (0.11 sec) 
  9. mysql> SELECT * FROM users; 
  10. +----------+-------------+ 
  11. | username | password    | 
  12. +----------+-------------+ 
  13. | vampire  | my_password | 
  14. +----------+-------------+ 
  15. 1 row in set (0.00 sec) 

為了展示尾部空白字符的修剪情況,我們可以輸入下列命令:

  1. mysql> SELECT * FROM users 
  2.     -> WHERE username='vampire       '
  3. +----------+-------------+ 
  4. | username | password    | 
  5. +----------+-------------+ 
  6. | vampire  | my_password | 
  7. +----------+-------------+ 
  8. 1 row in set (0.00 sec) 

現(xiàn)在,假設(shè)一個易受攻擊的網(wǎng)站使用了前面提到的PHP代碼來處理用戶的注冊和登錄。為了入侵任意用戶的帳戶(就本例來說,用戶名為“vampire”),只需使用用戶名“vampire[一些空白字符]1”和一個隨機密碼進行注冊即可。對于選擇的用戶名,前25個字符應(yīng)該只包含vampire和空白字符。這樣做的好處是,將有助于繞過檢查特定用戶名是否已存在的查詢。

  1. mysql> SELECT * FROM users 
  2.     -> WHERE username='vampire                   1'
  3. Empty set (0.00 sec) 

需要注意的是,在執(zhí)行SELECT查詢語句時,SQL是不會將字符串縮短為25個字符的。因此,這里將使用完整的字符串進行搜索,所以不會找到匹配的結(jié)果。接下來,當(dāng)運行INSERT查詢語句時,它只會插入前25個字符。

  1. mysql>   INSERT INTO users(username, password
  2.     -> VALUES ('vampire                   1''random_pass'); 
  3. Query OK, 1 row affected, 1 warning (0.05 sec) 
  4. mysql> SELECT * FROM users 
  5.     -> WHERE username='vampire'
  6. +---------------------------+-------------+ 
  7. | username                  | password    | 
  8. +---------------------------+-------------+ 
  9. | vampire                   | my_password | 
  10. | vampire                   | random_pass | 
  11. +---------------------------+-------------+ 
  12. rows in set (0.00 sec) 

很好,如果現(xiàn)在搜索“vampire”的話,將返回兩個用戶。注意,第二個用戶名實際上是“vampire”加上尾部的18個空格?,F(xiàn)在,如果使用用戶名“vampire”和密碼“random_pass”登錄的話,則所有搜索該用戶名的SELECT查詢都將返回第一個數(shù)據(jù)記錄,也就是原始的數(shù)據(jù)記錄。這樣的話,攻擊者就能夠以原始用戶身份登錄。

這個攻擊已經(jīng)在MySQL和SQLite上成功通過測試。我相信它同樣適用于其他數(shù)據(jù)庫下。

防御措施

顯然,要想開發(fā)安全的軟件,必須對這種安全漏洞嚴(yán)加防范。下面是我們可采取的幾項防御措施:

1. 應(yīng)該為要求/預(yù)期具有唯一性的那些列添加UNIQUE約束。這實際上是一個非常重要的軟件開發(fā)規(guī)則。即使您的代碼已經(jīng)提供了完整性檢查,也要正確定義您的數(shù)據(jù)。由于'username'列具有UNIQUE約束,所以插入另一個記錄將是不可能的。這兩個字符串將被視為等同的,并且INSERT查詢將失敗。

2. 最好使用'id'作為數(shù)據(jù)庫表的主鍵。此外,數(shù)據(jù)應(yīng)該通過程序中的id進行跟蹤。

3. 為了增加安全性,您還可以手動方式將輸入?yún)?shù)修剪為特定長度(具體長度可以視數(shù)據(jù)庫的中設(shè)置而定)。

責(zé)任編輯:武曉燕 來源: dhavalkapil
SQL攻擊防御
相關(guān)推薦

2010-09-08 13:14:57

SQL刪除約束

2010-11-12 15:04:30

SQL Server缺

2010-09-01 17:13:07

SQL刪除約束

2022-08-16 07:32:03

RestfulSOAPRPC

2009-08-05 15:37:50

什么是RESTRESTful的實現(xiàn)

2010-09-25 11:32:20

SQL主鍵約束

2010-09-28 11:13:50

SQL約束

2010-06-17 17:50:31

SQL Server外

2010-07-06 16:52:17

SQL Server創(chuàng)

2015-05-06 10:02:26

2010-09-25 13:16:51

SQL Server外

2010-09-03 13:51:10

SQL刪除約束

2010-11-10 11:37:29

SQL Server刪

2010-11-12 15:28:59

sql server默

2010-08-02 15:17:19

FlexBuilder

2019-01-09 09:34:22

2017-04-19 12:28:27

2019-09-05 19:05:16

2014-11-04 13:43:10

2020-03-13 09:33:37

USB攻擊向量移動安全
點贊
收藏

51CTO技術(shù)棧公眾號