我们如何保护我们的代码不受黑客和不良行为的影响?
SQL注入是一个网络安全漏洞,攻击者可以利用它更改对数据库的SQL查询。这可用于检索一些敏感信息,例如数据库结构,表,列及其基础数据。
例如,假设应用程序使用以下查询来获取某人的登录详细信息:
SELECT USERNAME,PASSWORD from USERS where USERNAME='<username>' AND PASSWORD='<password>';
/<password>/<username>
这里,username和password是由用户提供的输入。假设攻击者' OR '1'='1在两个字段中都给出了输入。因此,SQL查询将类似于:
SELECT USERNAME,PASSWORD from USERS where USERNAME='' OR '1'='1' AND PASSWORD='' OR '1'='1';
该查询产生一个正确的语句,因此用户登录。此示例描述了SQL注入的最基本类型。
SQL注入可用于任何地方以从数据库中获取任何敏感信息。
注意:这是最基本的示例,仅用于理解目的。在现实世界中,您几乎找不到任何此类案例。
您可以使用此备忘单来查看如何在不同的SQL数据库提供程序上进行查询。
如何检测SQL注入的存在?
在大多数情况下,SQL注入可以很容易地通过提供无效参数,如检测到','' a' or 1=1--,"a"" or 1=1--",or a = a,a' waitfor delay '0:0:10'--,1 waitfor delay '0:0:10'--,%26,' or username like '%,等你可以再观察应用程序的行为变化。
您可以尝试分析服务器响应的长度以及发送响应所花费的时间。诸如',a' or 1=1--等的有效负载可能会显示数据库服务器响应中的更改。但是,如果没有变化,那么我们尝试使用像这样的有效负载触发时间延迟a' waitfor delay '0:0:10'--。这可能会使服务器在发送响应之前延迟特定时间。
确定网站是否容易受到攻击后SQL Injection,我们可以尝试从数据库中提取一些敏感信息。
在此之前,我们需要确定number of columnsSQL查询返回的内容。这很重要,因为如果我们尝试提取的列数与查询实际返回的列数不相等,那么它将返回错误。
我们可以使用order by命令确定列数。例如:
[www.onlineshopping.com/products.php?pid=8](http://www.onlineshopping.com/products.php?pid=8) order by 1 -- //
www.onlineshopping.com/products.php?pid=8 order by 2 -- //// If the parameter is a string then you need to add ' after it.www.onlineshopping.com/products.php?usr=b' order by 3 -- //
www.onlineshopping.com/products.php?usr=a' order by 4 -- //
--意义在于它是SQL中的注释指示符,它使查询的其余部分成为注释。现在为了保留spaceafter --,我们在其后添加任何字符,以便space在HTTP request。根据SQL数据库提供程序的不同,我们可能还会使用#或/* */进行注释。
继续此过程,直到遇到错误。如果在使用有效负载时遇到错误,order by 5但在使用时却没有order by 4,这意味着查询返回4列。
如何使用SQL注入进行利用
一旦你知道应用程序容易受到SQL注入和你已经确定的列数,我们试图找到有关数据库,如必要的信息DB name,DB user name,DB version,table names,column names所需要的表,等退房的SQL注入小抄查找相应的查询。
SQL注入的类型
基于错误:这种SQL注入依赖于error messages数据库服务器抛出的错误,这可能会向我们提供有关数据库结构的一些有用信息。基于联合的:此技术使用SQL UNION运算符组合两个SELECT查询的结果并返回单个表。通过将结果附加到对数据库进行的原始查询,攻击者可以从其他表中提取信息。盲注:当应用程序容易受到攻击SQL Injection但的结果SQL query未在中返回时,就会发生这种情况HTTP response。在这种情况下,我们在数据库中查询任何true / false语句,并查看true和false条件的更改。它有两种类型:基于内容的:在此技术中,response在发送true条件和false条件时,将使用任何条件语句查询数据库服务器,并分析服务器中的条件差异。如何保护您的代码免受SQL注入?
切勿直接用用户输入构造查询。相反,请使用参数化语句。他们确保安全处理传递给SQL查询的输入。清理用户输入始终是一件好事。另外,应进行适当的输入验证,例如,名称不能为数字或电话号码不能为字母。但是,有时可以绕开它。使用安全的驱动程序与SQL数据库进行交互。它们自动防止所有SQL注入攻击。例如,适用于python的SQLAlchemy。资源资源
SQL Map是一个开放源代码工具,automates用于处理detecting和exploiting注入SQL漏洞。此存储库上有一些很酷的资源SQL Injection。其中包括一些备忘单和许多有用的有效负载,这些负载可以根据用例使用。翻译自:https://medium.com/better-programming/a-beginners-guide-to-sql-injection-163c1ad2257f