解析阻止或減輕SQL注入攻擊實(shí)用招數(shù)
SQL注入攻擊對(duì)企業(yè)安全形成巨大潛在威脅。一旦這種攻擊得逞,黑客可利用這種攻擊危害你的網(wǎng)絡(luò)并訪(fǎng)問(wèn)破壞你的數(shù)據(jù),甚至控制你的電腦。
什么是SQL注入?
SQL注入的原理十分簡(jiǎn)單。當(dāng)應(yīng)用把客戶(hù)數(shù)據(jù)當(dāng)作一種輸入的時(shí)候,那些心懷不軌的人就有機(jī)會(huì)注入刻意編寫(xiě)的數(shù)據(jù),這些數(shù)據(jù)會(huì)導(dǎo)致輸入行為會(huì)成為SQL查詢(xún)的一部分。
SQL注入是通過(guò)把SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令,比如先前的很多影視網(wǎng)站泄露VIP會(huì)員密碼大多就是通過(guò)WEB表單遞交查詢(xún)字符暴出的,這類(lèi)表單特別容易受到SQL注入式攻擊。
當(dāng)應(yīng)用程序使用輸入內(nèi)容來(lái)構(gòu)造動(dòng)態(tài)sql語(yǔ)句以訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)時(shí),會(huì)發(fā)生sql注入攻擊。如果代碼使用存儲(chǔ)過(guò)程,而這些存儲(chǔ)過(guò)程作為包含未篩選的用戶(hù)輸入的字符串來(lái)傳遞,也會(huì)發(fā)生sql注入。sql注入可能導(dǎo)致攻擊者使用應(yīng)用程序登陸在數(shù)據(jù)庫(kù)中執(zhí)行命令。如果應(yīng)用程序使用特權(quán)過(guò)高的帳戶(hù)連接到數(shù)據(jù)庫(kù),這種問(wèn)題會(huì)變得很?chē)?yán)重。在某些表單中,用戶(hù)輸入的內(nèi)容直接用來(lái)構(gòu)造(或者影響)動(dòng)態(tài)sql命令,或者作為存儲(chǔ)過(guò)程的輸入?yún)?shù),這些表單特別容易受到sql注入的攻擊。而許多網(wǎng)站程序在編寫(xiě)時(shí),沒(méi)有對(duì)用戶(hù)輸入的合法性進(jìn)行判斷或者程序中本身的變量處理不當(dāng),使應(yīng)用程序存在安全隱患。這樣,用戶(hù)就可以提交一段數(shù)據(jù)庫(kù)查詢(xún)的代碼,根據(jù)程序返回的結(jié)果,獲得一些敏感的信息或者控制整個(gè)服務(wù)器,于是sql注入就發(fā)生了。
例如,以下列代碼為例:
SELECT * FROM Users WHERE Username='$username' AND Password='$password' |
該代碼旨在展示用戶(hù)列表的用戶(hù)名和密碼記錄。使用Web界面,當(dāng)系統(tǒng)提示輸入用戶(hù)名和密碼的時(shí)候,黑客可能會(huì)輸入:
1 or 1=1 1 or 1=1 |
結(jié)果是:
SELECT * FROM Users WHERE Username='1' OR '1' = '1' AND Password='1' OR '1' = '1' |
黑客已經(jīng)將OR條件成功注入驗(yàn)證過(guò)程。更糟糕的是,條件'1' = '1'通常為真,因此這個(gè)SQL查詢(xún)往往會(huì)導(dǎo)致黑客繞過(guò)驗(yàn)證過(guò)程。
用類(lèi)似“;”的符號(hào)將另一個(gè)查詢(xún)附加到已有查詢(xún)之后(此附加查詢(xún)還對(duì)一部分已有查詢(xún)進(jìn)行解釋)。黑客可能刪除你的整個(gè)列表,甚至更改其中的數(shù)據(jù)。黑客可以用命令來(lái)控制你的操作系統(tǒng),從而操控你的電腦,并將之作為攻擊你其他網(wǎng)絡(luò)的一個(gè)中間站。總而言之,SQL注入攻擊可帶來(lái)以下后果:
數(shù)據(jù)私密性的喪失
數(shù)據(jù)完整性的喪失
數(shù)據(jù)泄漏
損害整個(gè)網(wǎng)絡(luò)#p#
如何才能防止SQL注入攻擊呢?
要做到防微杜漸,最重要的是清理數(shù)據(jù)和驗(yàn)證數(shù)據(jù),這兩項(xiàng)工作不能出現(xiàn)懈怠。清理數(shù)據(jù)是指通過(guò)函數(shù)運(yùn)行任何遞交的數(shù)據(jù)(如MySQL的mysql_real_escape_string()函數(shù)),以確保任何有威脅的字符,如“’”, 不會(huì)以數(shù)據(jù)方式輸入到SQL查詢(xún)。
驗(yàn)證則有所不同。驗(yàn)證是確保數(shù)據(jù)以被許可的方式遞交。在最基礎(chǔ)的操作中,驗(yàn)證包括確保電子郵件地址包含@符號(hào),當(dāng)驗(yàn)證只接受整數(shù)的時(shí)候,就只能提供數(shù)字,而且數(shù)據(jù)長(zhǎng)度不能超過(guò)最大限度。驗(yàn)證通常以?xún)煞N方式執(zhí)行:一是列出危險(xiǎn)字符或不受歡迎字符的黑名單;二是列出給定字符的名單,后者需要編程人員花費(fèi)更多心思。雖然可以在客戶(hù)端驗(yàn)證數(shù)據(jù),但是黑客同樣能夠?qū)?shù)據(jù)進(jìn)行修改,因此用戶(hù)有必要在服務(wù)器端驗(yàn)證所有數(shù)據(jù)。
但是清理數(shù)據(jù)和驗(yàn)證數(shù)據(jù)還遠(yuǎn)遠(yuǎn)不能保障用戶(hù)數(shù)據(jù)的安全。下面為大家介紹十種方法,幫助大家防止或減緩S(chǎng)QL注入攻擊:
1. 不信任任何人:假設(shè)所有用戶(hù)遞交的數(shù)據(jù)全部危險(xiǎn),對(duì)所有數(shù)據(jù)都進(jìn)行驗(yàn)證。
2. 沒(méi)必要的話(huà),就不要使用動(dòng)態(tài)SQL:包括使用過(guò)的預(yù)備陳述,參數(shù)化的查詢(xún)或保存好的進(jìn)程。
3. 更新和補(bǔ)丁:通常程序和數(shù)據(jù)庫(kù)中都存在黑客可以通過(guò)SQL注入而利用的漏洞,因此非常有必要使用程序補(bǔ)丁和更新。
4. 防火墻:無(wú)論是基于軟件還是基于設(shè)備,都可考慮使用Web應(yīng)用防火墻(WAF)來(lái)過(guò)濾惡意數(shù)據(jù)。好的防火墻具備一套完整的默認(rèn)規(guī)則,而且很容易隨時(shí)添加新規(guī)則。一個(gè)WAF可以在新漏洞的相應(yīng)補(bǔ)丁推出前,為用戶(hù)提供有效的安全保護(hù)。
5. 減少攻擊界面:及時(shí)對(duì)數(shù)據(jù)庫(kù)的功能進(jìn)行處理,以免被黑客利用。例如,xp_cmdshell擴(kuò)展了MS SQL中保存的進(jìn)程,而這使得Windows命令窗口激增,并且還通過(guò)了一個(gè)用于執(zhí)行的字符串,這些無(wú)疑都對(duì)黑客有益。被xp_cmdshell激增的Windows進(jìn)程有著和SQL Server服務(wù)帳戶(hù)相同的優(yōu)先安全權(quán)限。
6. 使用合適的權(quán)限:使用管理員級(jí)別權(quán)限的時(shí)候不要連接你的數(shù)據(jù)庫(kù),除非迫不得已。使用有限的帳戶(hù)權(quán)限有利于數(shù)據(jù)安全,而且這樣也能限制黑客的權(quán)限。
7. 保密隱私:假設(shè)你的應(yīng)用不安全,而且會(huì)隨加密操作或哈希密碼以及其他機(jī)密數(shù)據(jù),包括連接字符串,作出相應(yīng)調(diào)整。
8. 不要泄露過(guò)多信息:黑客可以從出錯(cuò)信息中讀取大量有關(guān)數(shù)據(jù)庫(kù)架構(gòu)的信息,因此要確保這些出錯(cuò)信息中盡可能顯示比較少的信息。使用RemoteOnly CustomErrors模式在本地電腦上顯示冗長(zhǎng)的錯(cuò)誤信息,如此外部黑客的不良操作就只能收到無(wú)法操作的出錯(cuò)信息。
9. 不要忘記根本原則:經(jīng)常更改應(yīng)用帳戶(hù)的密碼。雖然這是常識(shí),但是實(shí)際生活中,很多人的密碼都是幾個(gè)月甚至幾年也難換一次。
10. 購(gòu)買(mǎi)更好的軟件:在買(mǎi)下軟件前,就讓代碼編寫(xiě)者先檢查代碼并修復(fù)客戶(hù)應(yīng)用中的安全漏洞。
【編輯推薦】
