[[180513]]

引言

目前值得高興的是，開發者在建立網站時，已經開始關注安全問題了——幾乎每個開發者都知道SQL注入漏洞了。在本文中，我將為讀者介紹另一種與SQL數據庫相關的漏洞，雖然它的危害性與SQL注入不相上下，但目前卻很少為人所知。接下來，我將為讀者詳細展示這種攻擊手法，以及相應的防御策略。

背景知識

最近，我遇到了一段有趣的代碼，它嘗試盡一切可能來保護數據庫的訪問安全，例如每當新用戶進行注冊時，將運行以下代碼：

<?php 
// Checking whether a user with the same username exists 
$username = mysql_real_escape_string($_GET['username']); 
$password = mysql_real_escape_string($_GET['password']); 
$query = "SELECT *  
          FROM users  
          WHERE username='$username'"; 
$res = mysql_query($query, $database); 
if($res) {  
  if(mysql_num_rows($res) > 0) { 
    // User exists, exit gracefully 
    . 
    . 
  } 
  else { 
    // If not, only then insert a new entry 
    $query = "INSERT INTO users(username, password) 
              VALUES ('$username','$password')"; 
    . 
    . 
  } 
} 

為了驗證登錄信息，將用到下列代碼：

<?php 
$username = mysql_real_escape_string($_GET['username']); 
$password = mysql_real_escape_string($_GET['password']); 
$query = "SELECT username FROM users 
          WHERE username='$username' 
              AND password='$password' "; 
$res = mysql_query($query, $database); 
if($res) { 
  if(mysql_num_rows($res) > 0){ 
      $row = mysql_fetch_assoc($res); 
      return $row['username']; 
  } 
} 
return Null; 

安全注意事項周全嗎?

過濾用戶輸入參數了嗎? - 檢查了

使用單引號(')來增加安全性了嗎? - 檢查了

很好，還有什么可能出錯的地方嗎?

是的，攻擊者依然能夠以任意用戶身份進行登錄!

攻擊手法

在談論這種攻擊手法之前，首先需要介紹幾個至關重要的知識點。

1. 在處理SQL中的字符串時，字符串末尾的空格字符都會被刪除。換句話說，“vampire”與“vampire ”幾乎是等效的，這在大多數情況下是正確的，例如WHERE子句中的字符串或INSERT語句中的字符串。例如，以下語句的查詢結果，與使用用戶名“vampire”進行查詢時的結果是一樣的。

SELECT * FROM users WHERE username='vampire '; 

但是，除此之外也確實存在例外情況，例如LIKE子句。注意，對尾部空白字符的這種修剪操作，主要是在“字符串比較”期間進行的。這是因為，SQL會在內部使用空格來填充字符串，以便在比較之前使其它們的長度保持一致。

2. 在任意INSERT查詢中，SQL會根據varchar(n)來限制字符串的最大長度，也就是說，如果字符串的長度大于“n”個字符的話，那么僅使用字符串的前“n”個字符。例如，如果特定列的長度約束為“5”個字符，那么在插入字符串“vampire”時，實際上只能插入字符串的前5個字符，即“vampi”。

現在，讓我們建立一個測試數據庫來演示具體攻擊過程。

vampire@linux:~$ mysql -u root -p 
mysql> CREATE DATABASE testing; 
Query OK, 1 row affected (0.03 sec) 
mysql> USE testing; 
Database changed 

我將創建一個數據表users，它有兩列，即username和password。并且，這兩個字段的最大長度為25個字符。接下來，我將插入一行記錄，其中以“vampire”作為用戶名，以“my_password”作為密碼。

mysql> CREATE TABLE users ( 
    ->   username varchar(25), 
    ->   password varchar(25) 
    -> ); 
Query OK, 0 rows affected (0.09 sec) 
mysql> INSERT INTO users 
    -> VALUES('vampire', 'my_password'); 
Query OK, 1 row affected (0.11 sec) 
mysql> SELECT * FROM users; 
+----------+-------------+ 
| username | password    | 
+----------+-------------+ 
| vampire  | my_password | 
+----------+-------------+ 
1 row in set (0.00 sec) 

為了展示尾部空白字符的修剪情況，我們可以輸入下列命令：

mysql> SELECT * FROM users 
    -> WHERE username='vampire       '; 
+----------+-------------+ 
| username | password    | 
+----------+-------------+ 
| vampire  | my_password | 
+----------+-------------+ 
1 row in set (0.00 sec) 

現在，假設一個易受攻擊的網站使用了前面提到的PHP代碼來處理用戶的注冊和登錄。為了入侵任意用戶的帳戶(就本例來說，用戶名為“vampire”)，只需使用用戶名“vampire[一些空白字符]1”和一個隨機密碼進行注冊即可。對于選擇的用戶名，前25個字符應該只包含vampire和空白字符。這樣做的好處是，將有助于繞過檢查特定用戶名是否已存在的查詢。

mysql> SELECT * FROM users 
    -> WHERE username='vampire                   1'; 
Empty set (0.00 sec) 

需要注意的是，在執行SELECT查詢語句時，SQL是不會將字符串縮短為25個字符的。因此，這里將使用完整的字符串進行搜索，所以不會找到匹配的結果。接下來，當運行INSERT查詢語句時，它只會插入前25個字符。

mysql>   INSERT INTO users(username, password) 
    -> VALUES ('vampire                   1', 'random_pass'); 
Query OK, 1 row affected, 1 warning (0.05 sec) 
mysql> SELECT * FROM users 
    -> WHERE username='vampire'; 
+---------------------------+-------------+ 
| username                  | password    | 
+---------------------------+-------------+ 
| vampire                   | my_password | 
| vampire                   | random_pass | 
+---------------------------+-------------+ 
2 rows in set (0.00 sec) 

很好，如果現在搜索“vampire”的話，將返回兩個用戶。注意，第二個用戶名實際上是“vampire”加上尾部的18個空格。現在，如果使用用戶名“vampire”和密碼“random_pass”登錄的話，則所有搜索該用戶名的SELECT查詢都將返回第一個數據記錄，也就是原始的數據記錄。這樣的話，攻擊者就能夠以原始用戶身份登錄。

這個攻擊已經在MySQL和SQLite上成功通過測試。我相信它同樣適用于其他數據庫下。

防御措施

顯然，要想開發安全的軟件，必須對這種安全漏洞嚴加防范。下面是我們可采取的幾項防御措施：

1. 應該為要求/預期具有唯一性的那些列添加UNIQUE約束。這實際上是一個非常重要的軟件開發規則。即使您的代碼已經提供了完整性檢查，也要正確定義您的數據。由于'username'列具有UNIQUE約束，所以插入另一個記錄將是不可能的。這兩個字符串將被視為等同的，并且INSERT查詢將失敗。

2. 最好使用'id'作為數據庫表的主鍵。此外，數據應該通過程序中的id進行跟蹤。

3. 為了增加安全性，您還可以手動方式將輸入參數修剪為特定長度(具體長度可以視數據庫的中設置而定)。