網路攻擊技術開篇——SQL 注入(轉)

標籤：des   blog   http   io   ar   os   使用   sp   for   

      日前，國內最大的程式員社區CSDN網站的使用者資料庫被駭客公開發布，600萬使用者的登入名稱及密碼被公開泄露，隨後又有多家網站的使用者密碼被流傳於網路，連日來引發眾多網民對自己帳號、密碼等互連網資訊被盜取的普遍擔憂。

     網路安全成為了現在互連網的焦點，這也恰恰觸動了每一位使用者的神經，由於設計的漏洞導致了不可收拾的惡果，驗證了一句話“出來混的，遲早是要還的”，所以我想通過專題博文介紹一些常用的攻擊技術和防範策略。

     SQL Injection也許很多人都知道或者使用過，如果沒有瞭解或完全沒有聽過也沒有關係，因為接下來我們將介紹SQL Injection。

 

1.1.2 本文

      SQL Injection：就是通過把SQL命令插入到Web表單遞交或輸入欄位名或頁面請求的查詢字串，最終達到欺騙伺服器執行惡意的SQL命令。

      具體來說，它是利用現有應用程式，將（惡意）的SQL命令注入到後台資料庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全性漏洞的網站上的資料庫，而不是按照設計者意圖去執行SQL語句。

      首先讓我們瞭解什麼時候可能發生SQL Injection。

      假設我們在瀏覽器中輸入URL www.sample.com，由於它只是對頁面的簡單請求無需對資料庫動進行動態請求，所以它不存在SQL Injection，當我們輸入www.sample.com?testid=23時，我們在URL中傳遞變數testid，並且提供值為23，由於它是對資料庫進行動態查詢的請求（其中?testid＝23表示資料庫查詢變數），所以我們可以該URL中嵌入惡意SQL語句。

     現在我們知道SQL Injection適用場合，接下來我們將通過具體的例子來說明SQL Injection的應用，這裡我們以pubs資料庫作為例子。

     我們通過Web頁面查詢job表中的招聘資訊，job表的設計如下：

 

圖1 jobs表

 

     接著讓我們實現Web程式，它根據工作Id（job_id）來查詢相應的招聘資訊，示意代碼如下：

 

/// <summary>/// Handles the Load event of the Page control./// </summary>/// <param name="sender">The source of the event.</param>/// <param name="e">The <see cref="System.EventArgs"/> instance containing the event data.</param>protected void Page_Load(object sender, EventArgs e){    if (!IsPostBack)    {        // Gets departmentId from http request.        string queryString = Request.QueryString["departmentID"];        if (!string.IsNullOrEmpty(queryString))        {            // Gets data from database.            gdvData.DataSource = GetData(queryString.Trim());            // Binds data to gridview.            gdvData.DataBind();        }    }}

 

      現在我們已經完成了Web程式，接下來讓我們查詢相應招聘資訊吧。

 

圖2 job表查詢結果

 

      ，我們要查詢資料庫中工作Id值為1的工作資訊，而且在頁面顯示了該工作的Id，Description，Min Lvl和Max Lvl等資訊。

      現在要求我們實現根據工作Id查詢相應工作資訊的功能，想必大家很快可以給出解決方案，SQL示意代碼如下：

 

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobsWHERE     (job_id = 1)

 

      假設現在要求我們擷取Department表中的所有資料，而且必須保留WHERE語句，那我們只要確保WHERE恒真就OK了，SQL示意代碼如下：

 

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobsWHERE     (job_id = 1) OR 1 = 1

 

    上面我們使得WHERE恒真，所以該查詢中WHERE已經不起作用了，其查詢結果等同於以下SQL語句。

 

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobs

 

   SQL查詢代碼實現如下：

 

string sql1 = string.Format(    "SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id=‘{0}‘", jobId);

 

    現在我們要通過頁面請求的方式，讓資料庫執行我們的SQL語句，我們要在URL中嵌入惡意運算式1=1（或2=2等等），如下URL所示：

   http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1‘or‘1‘=‘1

 

   等效SQL語句如下：

 

SELECT     job_id, job_desc, min_lvl, max_lvlFROM         jobsWHERE     job_id = ‘1‘ OR ‘1‘ = 1‘

 

圖3 job表查詢結果

 

      現在我們把job表中的所有資料都查詢出來了，僅僅通過一個簡單的恒真運算式就可以進行了一次簡單的攻擊。

      雖然我們把job表的資料都查詢出來了，但資料並沒有太大的價值，由於我們把該表臨時命名為job表，所以接著我們要找出該表真正表名。

      首先我們假設表名就是job，然後輸入以下URL：

      http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1‘or 1=(select count(*) from job)--

 

      等效SQL語句如下：

 

SELECT       job_id, job_desc, min_lvl, max_lvl FROM         jobs WHERE      job_id=‘1‘or 1=(select count(*) from job) --‘

 

 

圖4 job表查詢結果

 

      當我們輸入了以上URL後，結果伺服器返回我們錯誤資訊，這證明了我們的假設是錯誤的，那我們該感覺到挫敗嗎？不，其實這裡返回了很多資訊，首先它證明了該表名不是job，而且它還告訴我們後台資料庫是SQL Server，不是MySQL或Oracle，這也設計一個漏洞把錯誤資訊直接返回給了使用者。

     接下假定表名是jobs，然後輸入以下URL：

    http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1‘or1=(select count(*) from jobs) --

 

    等效SQL語句如下：

 

SELECT       job_id, job_desc, min_lvl, max_lvl FROM         jobs WHERE      job_id=‘1‘or 1=(select count(*) from jobs) --‘

 

圖5 job表查詢結果

 

     現在證明了該表名是jobs，這可以邁向成功的一大步，由於我們知道了表名就可以對該表進行增刪改操作了，而且我們還可以猜測出更多的表對它們作出修改，一旦修改成功那麼這將是一場災難。

     現在大家已經對SQL Injection的攻擊有了初步的瞭解了，接下讓我們學習如何防止SQL Injection。

     總的來說有以下幾點：

1.永遠不要信任使用者的輸入，要對使用者的輸入進行校正，可以通過Regex，或限制長度，對單引號和雙"-"進行轉換等。

2.永遠不要使用動態拼裝SQL，可以使用參數化的SQL或者直接使用預存程序進行資料查詢存取。

3.永遠不要使用管理員權限的資料庫連接，為每個應用使用單獨的許可權有限的資料庫連接。

4.不要把機密資訊明文存放，請加密或者hash掉密碼和敏感的資訊。

5.應用的異常資訊應該給出儘可能少的提示，最好使用自訂的錯誤資訊對原始錯誤資訊進行封裝，把異常資訊存放在獨立的表中。

 

通過正則表達校正使用者輸入

      首先我們可以通過Regex校正使用者輸入資料中是包含：對單引號和雙"-"進行轉換等字元。

      然後繼續校正輸入資料中是否包含SQL語句的保留字，如：WHERE，EXEC，DROP等。

      現在讓我們編寫Regex來校正使用者的輸入吧，Regex定義如下：

 

private static readonly Regex RegSystemThreats =        new Regex(@"\s?or\s*|\s?;\s?|\s?drop\s|\s?grant\s|^‘|\s?--|\s?union\s|\s?delete\s|\s?truncate\s|" +            @"\s?sysobjects\s?|\s?xp_.*?|\s?syslogins\s?|\s?sysremote\s?|\s?sysusers\s?|\s?sysxlogins\s?|\s?sysdatabases\s?|\s?aspnet_.*?|\s?exec\s?",            RegexOptions.Compiled | RegexOptions.IgnoreCase);

      上面我們定義了一個Regex對象RegSystemThreats，並且給它傳遞了校正使用者輸入的Regex。

      由於我們已經完成了對使用者輸入校正的Regex了，接下來就是通過該Regex來校正使用者輸入是否合法了，由於.NET已經幫我們實現了判斷字串是否匹配Regex的方法——IsMatch()，所以我們這裡只需給傳遞要匹配的字串就OK了。

      示意代碼如下：

 

/// <summary>/// A helper method to attempt to discover [known] SqlInjection attacks.  /// </summary>/// <param name="whereClause">string of the whereClause to check</param>/// <returns>true if found, false if not found </returns>public static bool DetectSqlInjection(string whereClause){    return RegSystemThreats.IsMatch(whereClause);}/// <summary>/// A helper method to attempt to discover [known] SqlInjection attacks.  /// </summary>/// <param name="whereClause">string of the whereClause to check</param>/// <param name="orderBy">string of the orderBy clause to check</param>/// <returns>true if found, false if not found </returns>public static bool DetectSqlInjection(string whereClause, string orderBy){    return RegSystemThreats.IsMatch(whereClause) || RegSystemThreats.IsMatch(orderBy);}

 

     現在我們完成了校正用的Regex，接下來讓我們需要在頁面中添加校正功能。

/// <summary>/// Handles the Load event of the Page control./// </summary>/// <param name="sender">The source of the event.</param>/// <param name="e">The <see cref="System.EventArgs"/> instance containing the event data.</param>protected void Page_Load(object sender, EventArgs e){    if (!IsPostBack)    {        // Gets departmentId from http request.        string queryString = Request.QueryString["jobId"];        if (!string.IsNullOrEmpty(queryString))        {            if (!DetectSqlInjection(queryString) && !DetectSqlInjection(queryString, queryString))            {                // Gets data from database.                gdvData.DataSource = GetData(queryString.Trim());                // Binds data to gridview.                gdvData.DataBind();            }            else            {                throw new Exception("Please enter correct field");            }        }    }}

 

     當我們再次執行以下URL時，被嵌入的惡意語句被校正出來了，從而在一定程度上防止了SQL Injection。

     http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1‘or‘1‘=‘1

 

圖6 添加校正查詢結果

 

      但使用Regex只能防範一些常見或已知SQL Injection方式，而且每當發現有新的攻擊方式時，都要對Regex進行修改，這可是吃力不討好的工作。

 

通過參數化預存程序進行資料查詢存取

      首先我們定義一個預存程序根據jobId來尋找jobs表中的資料。

 

-- =============================================-- Author:        JKhuang-- Create date: 12/31/2011-- Description:    Get data from jobs table by specified jobId.-- =============================================ALTER PROCEDURE [dbo].[GetJobs]    -- ensure that the id type is int    @jobId INTASBEGIN--    SET NOCOUNT ON;    SELECT job_id, job_desc, min_lvl, max_lvl    FROM dbo.jobs    WHERE job_id = @jobId    GRANT EXECUTE ON GetJobs TO pubs END

 

    接著修改我們的Web程式使用參數化的預存程序進行資料查詢。

 

using (var com = new SqlCommand("GetJobs", con)){    // Uses store procedure.    com.CommandType = CommandType.StoredProcedure;    // Pass jobId to store procedure.    com.Parameters.Add("@jobId", SqlDbType.Int).Value = jobId;    com.Connection.Open();    gdvData.DataSource = com.ExecuteScalar();    gdvData.DataBind(); }

 

    現在我們通過參數化預存程序進行資料庫查詢，這裡我們把之前添加的Regex校正注釋掉。

 

圖7 預存程序查詢結果

 

      大家看到當我們試圖在URL中嵌入惡意的SQL語句時，參數化預存程序已經幫我們校正出傳遞給資料庫的變數不是整形，而且使用預存程序的好處是我們還可以很方便地控制使用者權限，我們可以給使用者指派唯讀或可讀寫權限。

     但我們想想真的有必要每個資料庫操作都定義成預存程序嗎？而且那麼多的預存程序也不利於日常的維護。

 

參數化SQL語句

     還是回到之前動態拼接SQL基礎上，我們知道一旦有惡意SQL代碼傳遞過來，而且被拼接到SQL語句中就會被資料庫執行，那麼我們是否可以在拼接之前進行判斷呢？——命名SQL參數。

 

string sql1 = string.Format("SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id = @jobId");using (var con = new SqlConnection(ConfigurationManager.ConnectionStrings["SQLCONN1"].ToString()))using (var com = new SqlCommand(sql1, con)){    // Pass jobId to sql statement.    com.Parameters.Add("@jobId", SqlDbType.Int).Value = jobId;    com.Connection.Open();    gdvData.DataSource = com.ExecuteReader();    gdvData.DataBind(); }

圖8 參數化SQL查詢結果

      這樣我們就可以避免每個資料庫操作（尤其一些簡單資料庫操作）都編寫預存程序了，而且當使用者具有資料庫中jobs表的讀許可權才可以執行該SQL語句。

 

添加新架構

      資料庫結構描述是一個獨立於資料庫使用者的非重複命名空間，您可以將架構視為對象的容器（類似於.NET中的命名空間）。

      首先我們右擊架構檔案夾，然後建立架構。

 

圖9 添加HumanResource架構

 

    上面我們完成了在pubs資料庫中添加HumanResource架構，接著把jobs表放到HumanResource架構中。

 

圖 10 修改jobs表所屬的架構

 

      當我們再次執行以下SQL語句時，SQL Server提示jobs無效，這是究竟什麼原因呢？之前還啟動並執行好好的。

 

SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs

 

圖 11 查詢輸出

 

    當我們輸入完整的表名“架構名.對象名”（HumanResource.jobs）時，SQL語句執行成功。

SELECT job_id, job_desc, min_lvl, max_lvl FROM HumanResource.jobs

 

 

      為什麼之前我們執行SQL語句時不用輸入完整表名dbo.jobs也可以執行呢？

      這是因為預設的架構（default schema）是dbo，當只輸入表名時，Sql Server會自動加上當前登入使用者的預設的架構（default schema）——dbo。

      由於我們使用自訂架構，這也降低了資料庫表名被猜測出來的可能性。

 

LINQ to SQL

      前面使用了預存程序和參數化查詢，這兩種方法都是非常常用的，而針對於.NET Framework的ORM架構也有很多，如：NHibernate，Castle和Entity Framework，這裡我們使用比較簡單LINQ to SQL。

 

 

圖 12 添加jobs.dbml檔案

 

var dc = new pubsDataContext();int result;// Validates jobId is int or not.if (int.TryParse(jobId, out result)){    gdvData.DataSource = dc.jobs.Where(p => p.job_id == result);    gdvData.DataBind();}

 

     相比預存程序和參數化查詢，LINQ to SQL我們只需添加jobs.dbml，然後使用LINQ對錶進行查詢就OK了。

 

1.1.3 總結

      我們在本文中介紹了SQL Injection的基本原理，通過介紹什麼是SQL Injection，怎樣進行SQL Injection和如何防範SQL Injection。通過一些程式源碼對SQL的攻擊進行了細緻的分析，使我們對SQL Injection機理有了一個深入的認識，作為一名Web應用開發人員，一定不要盲目相信使用者的輸入，而要對使用者輸入的資料進行嚴格的校正處理，否則的話，SQL Injection將會不期而至。

     最後，祝大家新年快樂，身體健康，Code with pleasure。

 

參考

http://en.wikipedia.org/wiki/SQL_injection

http://msdn.microsoft.com/zh-cn/library/bb153640%28v=SQL.90%29.aspx

網路攻擊技術開篇——SQL 注入(轉)