【51CTO.com快譯】隨著技術(shù)的進(jìn)步，Web應(yīng)用技術(shù)在得以快速發(fā)展的同時(shí)，其自身的漏洞和伴隨的風(fēng)險(xiǎn)也在不斷迭代與增加著。自2003年以來，SQL注入攻擊已持續(xù)位列OWASP應(yīng)用安全風(fēng)險(xiǎn)Top 10之中，并值得各類公司持續(xù)予以嚴(yán)防死守。在本文中，我們根據(jù)如下的議題，來深入探討SQL注入攻擊的特點(diǎn)，及其防御方法。具體議題如下：

• 什么是SQL注入攻擊?
• SQL注入有何危害?
• SQL注入攻擊如何運(yùn)作的?
• SQL注入攻擊有哪些不同類型?
• 如何防御SQL注入攻擊?

您可以訪問網(wǎng)絡(luò)安全視頻講座-- https://youtu.be/gfFKuiZ9Y7s，以觀看培訓(xùn)專家對(duì)每個(gè)技術(shù)細(xì)節(jié)的討論。

一、什么是SQL注入攻擊?

SQL注入(SQL injection，SQLi)攻擊是指：攻擊者通過執(zhí)行惡意SQL語句，來控制某個(gè)Web應(yīng)用的數(shù)據(jù)庫服務(wù)器，進(jìn)而未經(jīng)授權(quán)地訪問、修改或刪除各種數(shù)據(jù)。

在互聯(lián)網(wǎng)發(fā)展的早期，構(gòu)建網(wǎng)站曾是一個(gè)非常簡(jiǎn)單的過程：既沒有JavaScript，又沒有CSS，且少有圖像。但是，隨著各類網(wǎng)站的普及，人們對(duì)于先進(jìn)技術(shù)和動(dòng)態(tài)網(wǎng)站的需求也在不斷增長(zhǎng)。這就導(dǎo)致了JSP和PHP等服務(wù)器端腳本語言的不斷發(fā)展。

同時(shí)，各類網(wǎng)站也開始在數(shù)據(jù)庫中存儲(chǔ)豐富的用戶輸入內(nèi)容。如今，MySQL已經(jīng)成為了訪問和操作數(shù)據(jù)庫的最流行、且標(biāo)準(zhǔn)化的應(yīng)用。不過，黑客當(dāng)然也找到了利用SQL技術(shù)漏洞的新方法，SQL注入攻擊就是最常用的數(shù)據(jù)庫入侵方式之一。黑客使用定制化的SQL語句來入侵?jǐn)?shù)據(jù)庫，以欺騙系統(tǒng)執(zhí)行各種異常的、且不應(yīng)該的操作。

二、SQL注入攻擊有何危害?

在易受攻擊的網(wǎng)站上，攻擊者可以利用SQL注入實(shí)現(xiàn)許多操作與目的?？梢哉f，只要客觀條件滿足，攻擊者就能夠執(zhí)行如下各項(xiàng)操作：

• 繞過Web應(yīng)用的授權(quán)機(jī)制，以提取敏感信息。
• 基于數(shù)據(jù)庫中不同數(shù)據(jù)，輕松地控制應(yīng)用程序的各種行為。
• 伴隨著用戶訪問應(yīng)用的過程，注入更多需要執(zhí)行的惡意代碼。
• 添加、修改和刪除數(shù)據(jù)，破壞數(shù)據(jù)庫，以及迫使應(yīng)用的服務(wù)不可用。
• 在某個(gè)網(wǎng)站上，通過枚舉以獲取已注冊(cè)用戶的詳細(xì)身份信息，并將其用于攻擊其他站點(diǎn)。

雖然上述一切都取決于攻擊者的技巧與能力，但不可否認(rèn)的是，有時(shí)候SQL注入在整個(gè)攻擊過程中，對(duì)他們能夠成功并完全地接管數(shù)據(jù)庫和Web應(yīng)用起到了關(guān)鍵性的作用。下面我們來深入了解此類攻擊是如何實(shí)現(xiàn)的。 

三、SQL注入攻擊如何運(yùn)作的?

開發(fā)人員通過定義某種SQL查詢，在對(duì)應(yīng)的應(yīng)用程序運(yùn)行過程中，讓數(shù)據(jù)庫執(zhí)行一系列操作。此類查詢通常帶有一到兩個(gè)參數(shù)，以便根據(jù)用戶所提供的合適參數(shù)值，返回預(yù)期的查詢記錄。

不過，SQL注入攻擊會(huì)在如下兩個(gè)階段發(fā)生：

• 研究 - 攻擊者提供一些隨機(jī)的異常參數(shù)值，以觀察應(yīng)用程序?qū)⑷绾巫龀鲰憫?yīng)，進(jìn)而決定進(jìn)行何種攻擊嘗試。
• 攻擊 - 在此，攻擊者會(huì)提供精心設(shè)計(jì)的參數(shù)值。應(yīng)用程序?qū)⒔馕稣麠lSQL命令，而不僅僅是數(shù)據(jù)。然后，數(shù)據(jù)庫會(huì)按照攻擊者所修改意圖，來執(zhí)行該SQL命令。

讓我們來觀察一下如下示例。在登錄表單的過程中，網(wǎng)站用戶可以更改下面語句中的$user和$password參數(shù)值：

$statement = "SELECT * FROM users WHERE username ='$user' AND password '$password'";  

在服務(wù)器端，這一特定的SQL語句會(huì)被傳遞給相應(yīng)的函數(shù)，而那個(gè)函數(shù)又將該字符串發(fā)送給已連接的數(shù)據(jù)庫。接著，該數(shù)據(jù)庫對(duì)其進(jìn)行解析、執(zhí)行并返回相應(yīng)的結(jié)果。

#Define POST variables 
uname = request.POST['username'] 
passwd = request.POST['password'] 
#SQL query vulnerable to SQLi 
sql = "SELECT id FROM users WHERE username='" + uname + "' AND password='" + passwd + "'" 
#Execute the SQL statement  
database.execute(sql) 

那么，如果用戶的輸入沒有得到應(yīng)用程序的適當(dāng)“消毒”，攻擊者則可以輕松地植入精心設(shè)計(jì)的參數(shù)值。例如下面這條輸入語句：

$statement = "SELECT * FROM users WHERE username ='Dean' OR '1'='1'-- ' AND password = 'WinchesterS'";  

深入分析上述語句，我們可以注意到它包含的兩個(gè)特殊部分：

• OR'1'='1' - 是一個(gè)永遠(yuǎn)為真的條件，因此它會(huì)被應(yīng)用程序無條件地接受為有效的輸入。
• --(雙連字符) - 是告訴SQL解析器：該行的其余部分為注釋，不必執(zhí)行。

因此，一旦該查詢被執(zhí)行之后，SQL注入就能夠有效地跳過密碼驗(yàn)證，進(jìn)而導(dǎo)致身份驗(yàn)證環(huán)節(jié)的缺失。而且，憑借著此類查詢的記錄，攻擊者能夠很容易地使用獲取到的第一手?jǐn)?shù)據(jù)庫帳戶，即管理員用戶的信息，進(jìn)而成功地登錄到對(duì)應(yīng)的應(yīng)用程序之中。

值得注意的是，上面只是通過SQL的查詢，以非正式的方式獲取必要的信息。而實(shí)際上，SQL注入攻擊還有許多種類型。

四、SQL注入攻擊有哪些不同類型?

正所謂“條條道路通羅馬”。下面我們來看看攻擊者可以使用哪些類型的SQL注入漏洞，從服務(wù)器上提取數(shù)據(jù)。一般而言，SQL注入可分為如下種類：

1. 帶內(nèi)(In-Band)SQL注入

此類是最常見的SQL注入攻擊。它通常發(fā)生在攻擊者能夠使用相同的通信信道，來發(fā)起攻擊和收集各種結(jié)果。因此，最為常見的帶內(nèi)SQL注入類型分別是：

• 基于錯(cuò)誤的(Error-based)SQL注入 - 這種技術(shù)是根據(jù)數(shù)據(jù)庫服務(wù)器所拋出的錯(cuò)誤異常消息，來獲取有關(guān)數(shù)據(jù)庫結(jié)構(gòu)方面的信息。有時(shí)候，這種簡(jiǎn)單的攻擊方式足以讓攻擊者通過枚舉的手段獲悉整個(gè)數(shù)據(jù)庫。
• 基于聯(lián)合的(Union-based)SQL注入 – 這種技術(shù)是利用UNION SQL操作符將兩到多個(gè)SELECT語句的結(jié)果合并為一個(gè)，然后作為HTTP響應(yīng)的一部分予以返回。

在上述兩種注入類型中，各種數(shù)據(jù)實(shí)際上并未通過Web應(yīng)用程序進(jìn)行傳輸。因此，攻擊者也就無法直觀地看到攻擊的結(jié)果。下面，攻擊者可以通過發(fā)送有效的負(fù)載，并觀察Web應(yīng)用的響應(yīng)，以及數(shù)據(jù)庫服務(wù)器的結(jié)果行為，來對(duì)數(shù)據(jù)庫結(jié)構(gòu)進(jìn)行重建。因此，我們稱如下兩種SQL注入為推理類型：

• 基于布爾的(Boolean-based)SQL注入 – 這種技術(shù)根據(jù)查詢的返回結(jié)果是TRUE還是FALSE，來產(chǎn)生不同的結(jié)果。也就是說，根據(jù)結(jié)果的真?zhèn)?#8203;​，以決定HTTP響應(yīng)中的內(nèi)容是要被更改，還是保持不變。
• 基于時(shí)間的(Time-based)SQL注入 - 這種技術(shù)是在向數(shù)據(jù)庫發(fā)送SQL查詢的過程中，強(qiáng)制在數(shù)據(jù)庫響應(yīng)之前等待指定的時(shí)長(zhǎng)(以秒為單位)。也就是說，某個(gè)網(wǎng)站的響應(yīng)耗時(shí)，將能夠向攻擊者表明其查詢結(jié)果是TRUE還是FALSE。

2. 帶外(Out-of-Band)SQL注入

此類SQL注入攻擊的特點(diǎn)是：不但最不常見，而且通常也是最難以被執(zhí)行。它們通常涉及到，將各種數(shù)據(jù)直接從數(shù)據(jù)庫服務(wù)器發(fā)送到由攻擊者所控制的計(jì)算機(jī)上。從某種程度上說，帶外技術(shù)為攻擊者提供了SQL帶內(nèi)或盲注式攻擊的替代方法，其主要針對(duì)的是服務(wù)器響應(yīng)并不十分穩(wěn)定的情況。

可見，服務(wù)端腳本(server-scripting)語言并不能夠確定SQL查詢字符串是否存在著格式錯(cuò)誤。他們所能做的只是將某個(gè)字符串發(fā)送到數(shù)據(jù)庫服務(wù)器上，并等待解析的完成與響應(yīng)。不過話說回來，我們總能找到各種辦法來對(duì)用戶的輸入進(jìn)行“消毒”，并確保SQL注入攻擊無法得逞。

五、如何防御SQL注入攻擊?

現(xiàn)如今，我們有許多種簡(jiǎn)單的方法，以避免網(wǎng)站陷入SQL注入攻擊，并抑制它們可能造成的危害。下面，我們僅列舉其中的一小部分：

• 通過使用靜態(tài)和動(dòng)態(tài)測(cè)試，定期檢查并發(fā)現(xiàn)應(yīng)用程序中的SQL注入漏洞。
• 通過使用參數(shù)化查詢和對(duì)象關(guān)系映射(Object Relational Mappers，ORM)，來避免和修復(fù)注入漏洞。此類查詢通過指定參數(shù)的占位符，以便數(shù)據(jù)庫始終將它們視為數(shù)據(jù)，而非SQL命令的一部分。
• 使用轉(zhuǎn)義字符，來修復(fù)SQL注入漏洞，以便忽略掉一些特殊字符。
• 通過對(duì)數(shù)據(jù)庫強(qiáng)制執(zhí)行最小權(quán)限原則，來減緩SQL注入漏洞的影響。籍此，應(yīng)用程序的每一個(gè)軟件組件都只能訪問、并僅影響它所需要的資源。
• 對(duì)訪問數(shù)據(jù)庫的Web應(yīng)用程序采用Web應(yīng)用防火墻(Web Application Firewall，WAF)。這有助于識(shí)別出針對(duì)SQL注入的各種嘗試，進(jìn)而防止此類嘗試作用到應(yīng)用程序上。

縱然SQL注入攻擊是網(wǎng)絡(luò)犯罪分子非常流行的攻擊方法，但是如果我們能夠通過采取諸如：數(shù)據(jù)加密，執(zhí)行安全測(cè)試，以及及時(shí)更新補(bǔ)丁等適當(dāng)?shù)念A(yù)防措施，就能夠在某種程度上實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。

我們可以毫不夸張的說：遍布世界各地的黑客無時(shí)無刻在通過各種各樣的滲透方式，不斷地探測(cè)著目標(biāo)Web應(yīng)用中的潛在漏洞，并伺機(jī)采取各種攻擊手段。因此，我們要時(shí)刻保持高度警惕。

原文標(biāo)題：SQL Injection Attacks: Know How to Prevent Them，作者：Archana Choudhary

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】