SQL注入有多种类型,但它们都涉及攻击者将任意SQL插入到Web应用程序数据库查询中。SQL 注入对于攻击者和防御者来说都是最低的悬而未决的果实。
SQL注入定义
SQL注入是一种攻击类型,它可以通过将任意SQL代码插入到数据库查询中来让攻击者完全控制您的Web应用程序数据库。
SQL注入对于攻击者和防御者来说都是唾手可得的果实中最低的。它不是一些尖端的NSA Shadow Brokers 工具包,它非常简单, 一个初中生就可以做到 。这是脚本小子的东西— —修复您的Web应用程序以降低 SQL 注入的风险非常容易,以至于不这样做看起来越来越像严重疏忽。
SQL注入攻击
SQL注入有多种类型,但它们都涉及攻击者将任意SQL插入到Web应用程序数据库查询中。 SQL注入的最简单形式是通过用户输入。Web应用程序通常通过表单接受用户输入,前端将用户输入传递给后端数据库进行处理。如果Web应用程序未能清理用户输入,攻击者可以将他们选择的 SQL 注入后端数据库并删除、复制或修改数据库的内容。
攻击者还可以修改treat来毒害Web应用程序的数据库查询。Cookie在本地存储客户端状态信息,Web应用程序通常加载Cookie并处理该信息。恶意用户或恶意软件可以修改treat以将SQL注入后端数据库。
服务器变量(例如 HTTP 标头)也可以用作SQL注入攻击向量。如果Web应用程序也未能清理这些输入,则包含任意SQL的伪造标头可以将该代码注入到数据库中。
二阶SQL注入攻击是最狡猾的,因为它们不是为了立即运行而设计的,而是在很晚之后运行的。当中毒数据在不同的上下文中使用时,正确清理所有输入以防止立即攻击的开发人员可能仍然容易受到二阶SQL的攻击。
SQL注入工具
SQL注入作为一种技术,比当今使用它们的许多人类攻击者都要古老;这些攻击是基本的,并且早已自动化。SQLninja、SQLmap 和 Havij 等工具可以轻松测试您自己的 Web 应用程序,但也让攻击者很容易。
十年前,一种SQL注入蠕虫在互联网上肆虐。直到现在:没有太大变化。尽管人们普遍意识到SQL注入是一个问题,但很大一部分Web应用程序仍然容易受到攻击。
自动化测试工具可以让您在寻找轻松发现攻击者之前领先一步。使用SQLmap之类的工具对您的Web应用程序进行渗透测试是查看您的缓解措施是否足够的快速方法。SQLmap支持当今使用的几乎所有主要数据库,并且可以检测和利用大多数已知的SQL注入漏洞。
SQL注入示例
让我们看一个基本的SQL注入攻击。假设您已经构建了一个Web应用程序,允许客户输入他们的客户ID并检索他们的客户资料。Web 应用程序前端将用户输入的客户ID传递到后端数据库。数据库运行SQL查询并将结果返回给Web应用程序,后者将结果显示给最终用户。
后端数据库查询可能如下所示:
选择 *
来自客户
WHERE customer_id = '1234567'
假设用户在 Web 表单字段中输入了以下 customer_id:
1234567; 删除 * 客户 WHERE '1' = '1
然后后端数据库会乖乖地执行以下 SQL:
选择 *
来自客户
WHERE customer_id = '1234567';
删除 *
来自客户
哪里 'x' = 'x'
请记住,如果用分号分隔,数据库将很乐意连续执行多个SQL语句。未能清理单引号"'"字符的用户输入会使攻击者有可能删除整个表。希望你有好的备份。
这是一个简单的例子,有许多不同的SQL注入攻击向量,但都遵循相同的原则:Web 应用程序未能清理输入会导致远程 SQL 代码执行。
如何检测SQL注入攻击
减轻SQL注入攻击并不困难,但即使是最聪明、最善意的开发人员仍然会犯错误。因此,检测是降低SQL注入攻击风险的重要组成部分。Web 应用程序防火墙 (WAF) 可以检测和阻止基本的SQL注入攻击,但您不应将其作为唯一的预防措施。
入侵检测系统 (IDS) 基于网络和基于主机的 可以调整以检测SQL注入攻击。基于网络的 IDS 可以监控到您的数据库服务器的所有连接,并标记可疑活动。基于主机的 IDS 可以监视 Web 服务器日志并在发生奇怪的事情时发出警报。
不过,归根结底,SQL 注入攻击是易于理解且易于预防的,降低风险的首要任务应该是首先防止SQL注入攻击。
如何防止SQL注入攻击
清理您的数据库输入。对您的Web应用程序数据库的任何输入都应被视为不可信并进行相应处理。
为了防止SQL注入攻击,专家告诉我们,要求开发者白名单输入验证(不是黑名单),使用具有参数化查询预处理语句,并逃避所有用户提供的输入。
限制账户权限,假设有违规行为。如果开发人员未能清理单个用户输入字段怎么办? 嘿,它发生了。开发人员只是人。清理输入,但假设有什么东西会从你身边溜走。限制数据库用户的账户权限。例如,您的Web应用程序是只读的吗?它是否需要具有 DROP TABLES 权限? 可能不是。最小特权原则在这里适用。为Web应用程序提供运行所需的最低权限。
存储过程也会使SQL变得更加困难— — 尽管并非不可能。如果您的Web应用程序只需要运行少量SQL查询,请创建存储过程来执行这些查询。通常,只有数据库管理员才有权创建或修改存储过程。但是请注意,许多数据库附带了开箱即用的默认存储过程,攻击者也知道这一点。考虑删除这些默认存储过程,除非您确实需要它们。
SQL注入 Web 应用程序安全果实中最低的。这种众所周知的攻击向量很容易被不熟练的攻击者利用,但只需进行少量的尽职调查即可轻松缓解。2021年,Web应用程序不会在这么容易受到SQL注入攻击。