日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
基于約束條件的SQL攻擊

引言

目前值得高興的是,開發(fā)者在建立網(wǎng)站時(shí),已經(jīng)開始關(guān)注安全問題了——幾乎每個(gè)開發(fā)者都知道SQL注入漏洞了。在本文中,我將為讀者介紹另一種與SQL數(shù)據(jù)庫相關(guān)的漏洞,雖然它的危害性與SQL注入不相上下,但目前卻很少為人所知。接下來,我將為讀者詳細(xì)展示這種攻擊手法,以及相應(yīng)的防御策略。

背景知識

最近,我遇到了一段有趣的代碼,它嘗試盡一切可能來保護(hù)數(shù)據(jù)庫的訪問安全,例如每當(dāng)新用戶進(jìn)行注冊時(shí),將運(yùn)行以下代碼:

 
 
 
    
  
  
  
  1. 
  
  
  
  2. // Checking whether a user with the same username exists
    3. 
  
  
  
  3. $username = mysql_real_escape_string($_GET['username']);
    4. 
  
  
  
  4. $password = mysql_real_escape_string($_GET['password']);
    5. 
  
  
  
  5. $query = "SELECT * 
    6. 
  
  
  
  6.           FROM users 
    7. 
  
  
  
  7.           WHERE username='$username'";
    8. 
  
  
  
  8. $res = mysql_query($query, $database);
    9. 
  
  
  
  9. if($res) { 
    10. 
  
  
  
  10.   if(mysql_num_rows($res) > 0) {
    11. 
  
  
  
  11.     // User exists, exit gracefully
    12. 
  
  
  
  12.     .
    13. 
  
  
  
  13.     .
    14. 
  
  
  
  14.   }
    15. 
  
  
  
  15.   else {
    16. 
  
  
  
  16.     // If not, only then insert a new entry
    17. 
  
  
  
  17.     $query = "INSERT INTO users(username, password)
    18. 
  
  
  
  18.               VALUES ('$username','$password')";
    19. 
  
  
  
  19.     .
    20. 
  
  
  
  20.     .
    21. 
  
  
  
  21.   }
    22. 
  
  
  
  22. }
    23.

為了驗(yàn)證登錄信息,將用到下列代碼:

 
 
 
    
  
  
  
  1. 
  
  
  
  2. $username = mysql_real_escape_string($_GET['username']);
    3. 
  
  
  
  3. $password = mysql_real_escape_string($_GET['password']);
    4. 
  
  
  
  4. $query = "SELECT username FROM users
    5. 
  
  
  
  5.           WHERE username='$username'
    6. 
  
  
  
  6.               AND password='$password' ";
    7. 
  
  
  
  7. $res = mysql_query($query, $database);
    8. 
  
  
  
  8. if($res) {
    9. 
  
  
  
  9.   if(mysql_num_rows($res) > 0){
    10. 
  
  
  
  10.       $row = mysql_fetch_assoc($res);
    11. 
  
  
  
  11.       return $row['username'];
    12. 
  
  
  
  12.   }
    13. 
  
  
  
  13. }
    14. 
  
  
  
  14. return Null;
    15.

安全注意事項(xiàng)周全嗎?

過濾用戶輸入?yún)?shù)了嗎? - 檢查了

使用單引號(')來增加安全性了嗎? - 檢查了

很好,還有什么可能出錯(cuò)的地方嗎?

是的,攻擊者依然能夠以任意用戶身份進(jìn)行登錄!

攻擊手法

在談?wù)撨@種攻擊手法之前,首先需要介紹幾個(gè)至關(guān)重要的知識點(diǎn)。

1. 在處理SQL中的字符串時(shí),字符串末尾的空格字符都會被刪除。換句話說,“vampire”與“vampire ”幾乎是等效的,這在大多數(shù)情況下是正確的,例如WHERE子句中的字符串或INSERT語句中的字符串。例如,以下語句的查詢結(jié)果,與使用用戶名“vampire”進(jìn)行查詢時(shí)的結(jié)果是一樣的。

 
 
 
    
  
  
  
  1. SELECT * FROM users WHERE username='vampire ';
    2.

但是,除此之外也確實(shí)存在例外情況,例如LIKE子句。注意,對尾部空白字符的這種修剪操作,主要是在“字符串比較”期間進(jìn)行的。這是因?yàn)?,SQL會在內(nèi)部使用空格來填充字符串,以便在比較之前使其它們的長度保持一致。

2. 在任意INSERT查詢中,SQL會根據(jù)varchar(n)來限制字符串的最大長度,也就是說,如果字符串的長度大于“n”個(gè)字符的話,那么僅使用字符串的前“n”個(gè)字符。例如,如果特定列的長度約束為“5”個(gè)字符,那么在插入字符串“vampire”時(shí),實(shí)際上只能插入字符串的前5個(gè)字符,即“vampi”。

現(xiàn)在,讓我們建立一個(gè)測試數(shù)據(jù)庫來演示具體攻擊過程。

 
 
 
    
  
  
  
  1. vampire@linux:~$ mysql -u root -p
    2. 
  
  
  
  2. mysql> CREATE DATABASE testing;
    3. 
  
  
  
  3. Query OK, 1 row affected (0.03 sec)
    4. 
  
  
  
  4. mysql> USE testing;
    5. 
  
  
  
  5. Database changed
    6.

我將創(chuàng)建一個(gè)數(shù)據(jù)表users,它有兩列,即username和password。并且,這兩個(gè)字段的最大長度為25個(gè)字符。接下來,我將插入一行記錄,其中以“vampire”作為用戶名,以“my_password”作為密碼。

 
 
 
    
  
  
  
  1. mysql> CREATE TABLE users (
    2. 
  
  
  
  2.     ->   username varchar(25),
    3. 
  
  
  
  3.     ->   password varchar(25)
    4. 
  
  
  
  4.     -> );
    5. 
  
  
  
  5. Query OK, 0 rows affected (0.09 sec)
    6. 
  
  
  
  6. mysql> INSERT INTO users
    7. 
  
  
  
  7.     -> VALUES('vampire', 'my_password');
    8. 
  
  
  
  8. Query OK, 1 row affected (0.11 sec)
    9. 
  
  
  
  9. mysql> SELECT * FROM users;
    10. 
  
  
  
  10. +----------+-------------+
    11. 
  
  
  
  11. | username | password    |
    12. 
  
  
  
  12. +----------+-------------+
    13. 
  
  
  
  13. | vampire  | my_password |
    14. 
  
  
  
  14. +----------+-------------+
    15. 
  
  
  
  15. 1 row in set (0.00 sec)
    16.

為了展示尾部空白字符的修剪情況,我們可以輸入下列命令:

 
 
 
    
  
  
  
  1. mysql> SELECT * FROM users
    2. 
  
  
  
  2.     -> WHERE username='vampire       ';
    3. 
  
  
  
  3. +----------+-------------+
    4. 
  
  
  
  4. | username | password    |
    5. 
  
  
  
  5. +----------+-------------+
    6. 
  
  
  
  6. | vampire  | my_password |
    7. 
  
  
  
  7. +----------+-------------+
    8. 
  
  
  
  8. 1 row in set (0.00 sec)
    9.

現(xiàn)在,假設(shè)一個(gè)易受攻擊的網(wǎng)站使用了前面提到的PHP代碼來處理用戶的注冊和登錄。為了入侵任意用戶的帳戶(就本例來說,用戶名為“vampire”),只需使用用戶名“vampire[一些空白字符]1”和一個(gè)隨機(jī)密碼進(jìn)行注冊即可。對于選擇的用戶名,前25個(gè)字符應(yīng)該只包含vampire和空白字符。這樣做的好處是,將有助于繞過檢查特定用戶名是否已存在的查詢。

 
 
 
    
  
  
  
  1. mysql> SELECT * FROM users
    2. 
  
  
  
  2.     -> WHERE username='vampire                   1';
    3. 
  
  
  
  3. Empty set (0.00 sec)
    4.

需要注意的是,在執(zhí)行SELECT查詢語句時(shí),SQL是不會將字符串縮短為25個(gè)字符的。因此,這里將使用完整的字符串進(jìn)行搜索,所以不會找到匹配的結(jié)果。接下來,當(dāng)運(yùn)行INSERT查詢語句時(shí),它只會插入前25個(gè)字符。

 
 
 
    
  
  
  
  1. mysql>   INSERT INTO users(username, password)
    2. 
  
  
  
  2.     -> VALUES ('vampire                   1', 'random_pass');
    3. 
  
  
  
  3. Query OK, 1 row affected, 1 warning (0.05 sec)
    4. 
  
  
  
  4. mysql> SELECT * FROM users
    5. 
  
  
  
  5.     -> WHERE username='vampire';
    6. 
  
  
  
  6. +---------------------------+-------------+
    7. 
  
  
  
  7. | username                  | password    |
    8. 
  
  
  
  8. +---------------------------+-------------+
    9. 
  
  
  
  9. | vampire                   | my_password |
    10. 
  
  
  
  10. | vampire                   | random_pass |
    11. 
  
  
  
  11. +---------------------------+-------------+
    12. 
  
  
  
  12. 2 rows in set (0.00 sec)
    13.

很好,如果現(xiàn)在搜索“vampire”的話,將返回兩個(gè)用戶。注意,第二個(gè)用戶名實(shí)際上是“vampire”加上尾部的18個(gè)空格。現(xiàn)在,如果使用用戶名“vampire”和密碼“random_pass”登錄的話,則所有搜索該用戶名的SELECT查詢都將返回第一個(gè)數(shù)據(jù)記錄,也就是原始的數(shù)據(jù)記錄。這樣的話,攻擊者就能夠以原始用戶身份登錄。

這個(gè)攻擊已經(jīng)在MySQL和SQLite上成功通過測試。我相信它同樣適用于其他數(shù)據(jù)庫下。

防御措施

顯然,要想開發(fā)安全的軟件,必須對這種安全漏洞嚴(yán)加防范。下面是我們可采取的幾項(xiàng)防御措施:

1. 應(yīng)該為要求/預(yù)期具有唯一性的那些列添加UNIQUE約束。這實(shí)際上是一個(gè)非常重要的軟件開發(fā)規(guī)則。即使您的代碼已經(jīng)提供了完整性檢查,也要正確定義您的數(shù)據(jù)。由于'username'列具有UNIQUE約束,所以插入另一個(gè)記錄將是不可能的。這兩個(gè)字符串將被視為等同的,并且INSERT查詢將失敗。

2. 最好使用'id'作為數(shù)據(jù)庫表的主鍵。此外,數(shù)據(jù)應(yīng)該通過程序中的id進(jìn)行跟蹤。

3. 為了增加安全性,您還可以手動方式將輸入?yún)?shù)修剪為特定長度(具體長度可以視數(shù)據(jù)庫的中設(shè)置而定)。


當(dāng)前名稱:基于約束條件的SQL攻擊
瀏覽地址:http://www.5511xx.com/article/ccscpsi.html