國網(wǎng)宜昌供電公司信息通信分公司 李 楊

國網(wǎng)宜昌供電公司客戶服務(wù)中心計(jì)量室 周婧姝

Web頁面中SQL注入攻擊的原理、過程以及預(yù)防對(duì)策

國網(wǎng)宜昌供電公司信息通信分公司 李 楊

國網(wǎng)宜昌供電公司客戶服務(wù)中心計(jì)量室 周婧姝

SQL注入攻擊屬于一種數(shù)據(jù)庫安全攻擊手段，該攻擊手段是從正常的WWWW端口進(jìn)入數(shù)據(jù)庫的，與常規(guī)Web頁面訪問幾乎一致，所以很難被數(shù)據(jù)安全系統(tǒng)發(fā)現(xiàn)，具有較強(qiáng)的隱蔽性。為了提高數(shù)據(jù)庫的安全系數(shù)，就需要針對(duì)SQL注入攻擊采取有效的預(yù)防措施。文章對(duì)SQL注入攻擊原理及過程進(jìn)行了分析，并提出了有效的預(yù)防對(duì)策，對(duì)構(gòu)建穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境具有重要意義。

Web頁面；SQL注入攻擊；原理；過程；預(yù)防對(duì)策

從當(dāng)前應(yīng)用程序編寫使用最為廣泛的網(wǎng)絡(luò)結(jié)構(gòu)模式為B/S，具有開發(fā)簡單、維護(hù)方便、使用快捷等眾多優(yōu)勢。但是，該網(wǎng)絡(luò)結(jié)構(gòu)模式也具有較大的缺陷，程序員在編寫代碼的時(shí)候，往往會(huì)忽略掉對(duì)Web頁面所輸入數(shù)據(jù)合法性的判斷，為網(wǎng)絡(luò)不法分子留下了SQL注入攻擊路徑，嚴(yán)重威脅了數(shù)據(jù)庫安全，所以必須采取有效的預(yù)防對(duì)策來降低SQL注入攻擊發(fā)生概率。

1.Web頁面中SQL注入攻擊的原理

造成Web頁面中SQL注入攻擊的最根本原因，是沒有對(duì)Web輸入數(shù)據(jù)的合法性進(jìn)行有效判斷。根據(jù)SQL注入攻擊原理的不同，可以將其其分為三種攻擊方式，分別為登錄表單注入攻擊、修改Cookie內(nèi)容注入攻擊以及盲目注入攻擊，下面對(duì)這三種攻擊方式的原理進(jìn)行詳細(xì)分析。

1.1 登錄表單注入攻擊

攻擊者在登錄時(shí)將精心構(gòu)造的惡意SQL語句偽裝進(jìn)正常登陸數(shù)據(jù)內(nèi)提交，此時(shí)系統(tǒng)與服務(wù)器防火墻并不能有效識(shí)別數(shù)據(jù)的合法性，所以服務(wù)器便會(huì)執(zhí)行修改后的惡意SQL語句，造成SQL注入攻擊，導(dǎo)致程序的實(shí)際運(yùn)行結(jié)果發(fā)生了變化，與預(yù)期運(yùn)行結(jié)果之間存在較大偏差，甚至?xí)霈F(xiàn)數(shù)據(jù)泄露與數(shù)據(jù)篡改現(xiàn)象，嚴(yán)重威脅了數(shù)據(jù)的安全性及完整性。

1.2 修改Cookie內(nèi)容注入攻擊

Cookie是以文件形式存在于客戶端計(jì)算機(jī)中的，能夠生成Web日志，文件內(nèi)容為狀態(tài)信息，對(duì)Web應(yīng)用程序起到記錄作用，用戶可以根據(jù)自己需求，利用Cookie文件將Web應(yīng)用程序狀態(tài)信息進(jìn)行恢復(fù)。Cookie文件的存可以作為黑客入侵的載體，攻擊者在進(jìn)入到客戶端計(jì)算機(jī)系統(tǒng)之后，可以隨意篡改Cookie文件內(nèi)容，將攻擊指令輸入到狀態(tài)信息中，當(dāng)用戶想利用Cookie文件恢復(fù)Web應(yīng)用程序狀態(tài)信息，在構(gòu)造SQL查詢語句時(shí)，Web應(yīng)用程序便會(huì)對(duì)攻擊指令進(jìn)行回應(yīng)，進(jìn)而造成Web頁面出現(xiàn)SQL注入攻擊現(xiàn)象[1]。

1.3 盲目注入攻擊

盲目注入攻擊是一種沒有明確目標(biāo)的SQL注入攻擊方式，是利用SQL本身存在的漏洞來實(shí)現(xiàn)的。通過向服務(wù)器反復(fù)輸入數(shù)據(jù)，構(gòu)造SQL查詢字串，服務(wù)器便會(huì)按照這些SQL字串運(yùn)行，向客戶端傳遞錯(cuò)誤信息，此時(shí)客戶端便會(huì)對(duì)服務(wù)器運(yùn)行做出反饋。黑客通過對(duì)客戶端所得到的錯(cuò)誤數(shù)據(jù)進(jìn)行分析，從中提取有價(jià)值數(shù)據(jù)，通過多次測試、驗(yàn)證，從數(shù)據(jù)庫中找出敏感程度較高的數(shù)據(jù)，進(jìn)而找出SQL注入漏洞，進(jìn)行SQL注入攻擊。

2.Web頁面中SQL注入攻擊的過程

2.1 尋找SQL注入漏洞的鏈接

通常情況下，Web頁面都會(huì)存在外部鏈接，鏈接是以list. asp？id=的形式存在的，由鏈接形式可得，鏈接是調(diào)動(dòng)SQL語句查詢數(shù)據(jù)庫所形成的，當(dāng)鏈接后半段的參數(shù)沒有得到有效過濾，或者是沒有對(duì)輸入數(shù)據(jù)的合法性進(jìn)行有效判斷時(shí)，便可能會(huì)出現(xiàn)SQL注入攻擊現(xiàn)象。借助于搜索引擎，黑客可以利用鏈接的這種特性，通過不斷嘗試找出漏洞鏈接。并且當(dāng)使用統(tǒng)一資源定位符對(duì)網(wǎng)頁進(jìn)行訪問時(shí)，如果需要對(duì)數(shù)據(jù)進(jìn)行動(dòng)態(tài)查詢，便很容易出現(xiàn)SQL注入漏洞鏈接[2]。

2.2 檢測SQL注入漏洞

在找到SQL注入漏洞的鏈接之后，通過多次輸入數(shù)據(jù)，依據(jù)瀏覽器反饋信息，對(duì)所得到的數(shù)據(jù)進(jìn)行分析，從數(shù)據(jù)庫中找出敏感程度較高的數(shù)據(jù)，進(jìn)而檢測到SQL注入漏洞。檢測SQL注入漏洞的方法，一般都是在連接末尾加入字符“或”，根據(jù)反饋得到的錯(cuò)誤信息得到數(shù)據(jù)庫的具體類型，然后在鏈接末尾加入“and 1=1”和“and 1=2”，當(dāng)前半段得到正常回應(yīng)，后半段沒內(nèi)容反饋，并返回上級(jí)操作，此時(shí)，Web網(wǎng)頁中就會(huì)存在SQL注入漏洞。

2.3 獲取表名以及字段

一般情況下，存儲(chǔ)在數(shù)據(jù)庫中的表名以及字段，都是按照一定的規(guī)律排布的，所以可以利用數(shù)據(jù)庫獲取表名以及字段。在檢測得到SQL注入漏洞后，黑客通過構(gòu)造SQL字串，借助網(wǎng)上注入工具，在之前所得的的數(shù)據(jù)庫中進(jìn)行查找，能夠從中獲取管理員的表名以及字段等有效信息，然后再利用這些信息，便可以破解出管理員密碼，獲取管理權(quán)限。

2.4 得到Web后臺(tái)管理入口

當(dāng)攻擊者得到管理員密碼，通過身份驗(yàn)證之后，便可以對(duì)用戶名以及用戶密碼進(jìn)行破解，進(jìn)而獲取用戶的私人信息及數(shù)據(jù)，實(shí)現(xiàn)入侵目的。黑客以管理員的身份通過構(gòu)造SQL語句，使網(wǎng)站管理系統(tǒng)對(duì)語句進(jìn)行回應(yīng)，進(jìn)而逐步得到用戶名以及用戶密碼，常用的語句形式如and 1=（select管理id from（select * from管理員表名where管理員id=1）where asc（mid（管理員賬號(hào)字段名，1，1））＜100）。在獲取用戶名及用戶密碼之后，便可以得到Web后臺(tái)管理入口，進(jìn)入到系統(tǒng)內(nèi)部。

2.5 實(shí)施攻擊和破壞

黑客進(jìn)入到網(wǎng)站系統(tǒng)內(nèi)部之后，便可以進(jìn)行隨意破壞，刪除、篡改用戶數(shù)據(jù)，添加廣告鏈接，上傳木馬病毒等，都是黑客常用破壞形式，同時(shí)還能進(jìn)一步入侵整個(gè)服務(wù)器，對(duì)服務(wù)器造成嚴(yán)重破壞，最終完成Web頁面SQL注入攻擊。

3.Web頁面中SQL注入攻擊的預(yù)防對(duì)策

SQL注入攻擊的概率較高，為了有效避免出現(xiàn)SQL注入攻擊事件，就需要采取科學(xué)、有效的預(yù)防對(duì)策。

3.1 加強(qiáng)對(duì)輸入?yún)?shù)及數(shù)據(jù)的判斷

有效過濾輸入?yún)?shù)以及正確判斷輸入數(shù)據(jù)，是避免出現(xiàn)SQL注入攻擊的有效方式。首先，要對(duì)字符型參數(shù)進(jìn)行有效過濾，包括逗號(hào)、單引號(hào)、雙引號(hào)、分號(hào)等，當(dāng)出現(xiàn)較多這類符號(hào)的時(shí)候，應(yīng)該進(jìn)行篩選、過濾，限制這類符號(hào)的輸入，同時(shí)，還需要根據(jù)參數(shù)的長度，對(duì)其合法性進(jìn)行正確判斷。其次，是要對(duì)數(shù)據(jù)進(jìn)行正確判斷，當(dāng)數(shù)據(jù)中含有非法字符時(shí)，便不對(duì)這類數(shù)據(jù)進(jìn)行響應(yīng)。

3.2 設(shè)置數(shù)據(jù)庫及用戶表訪問權(quán)限

通過設(shè)置服務(wù)器數(shù)據(jù)庫訪問權(quán)限，能夠防止攻擊者進(jìn)入到數(shù)據(jù)庫內(nèi)部，對(duì)數(shù)據(jù)庫起到保護(hù)作用，可以有效降低SQL注入攻擊發(fā)生概率。在設(shè)置服務(wù)器數(shù)據(jù)庫訪問權(quán)限的時(shí)候，如果沒有特殊要求，不要讓W(xué)eb頁面以超級(jí)管理員的身份與數(shù)據(jù)庫進(jìn)行連接。在設(shè)置用戶表訪問權(quán)限時(shí)，僅僅授予管理員訪問權(quán)限，堅(jiān)決不要授予管理員更新、插入等權(quán)限。

3.3 摒棄動(dòng)態(tài)SQL字串

因?yàn)樵趯?duì)數(shù)據(jù)進(jìn)行動(dòng)態(tài)查詢時(shí)，發(fā)生SQL注入攻擊的概率是比較高的，所以為了降低SQL注入攻擊發(fā)生概率，則需要摒棄動(dòng)態(tài)SQL字串，利用用戶存儲(chǔ)過程來實(shí)現(xiàn)對(duì)數(shù)據(jù)的訪問和操作。在這種系統(tǒng)模式下，用戶所提交的數(shù)據(jù)便不會(huì)再生成動(dòng)態(tài)SQL語句，而是確確實(shí)實(shí)地作為參數(shù)傳遞給存儲(chǔ)過程，這樣一來，便會(huì)失去SQL注入攻擊路徑。

3.4 加強(qiáng)系統(tǒng)監(jiān)督及檢測

加強(qiáng)系統(tǒng)日常監(jiān)督與檢測，是預(yù)防SQL注入攻擊必不可少的重要措施。作為網(wǎng)站管理員要及時(shí)的打補(bǔ)丁并強(qiáng)化數(shù)據(jù)，禁用不必要的服務(wù)和功能，對(duì)數(shù)據(jù)庫活動(dòng)進(jìn)行監(jiān)視，利用工具或設(shè)備，對(duì)Web頁面中的攻擊行為進(jìn)行檢測，及早預(yù)防。

4.結(jié)束語

在大數(shù)據(jù)以及云計(jì)算背景下，網(wǎng)絡(luò)計(jì)算機(jī)技術(shù)迎來了新的發(fā)展機(jī)遇，但同時(shí)也面臨著更加嚴(yán)峻的挑戰(zhàn)。作為黑客最為常用的一種入侵手段，SQL注入攻擊對(duì)網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)環(huán)境的穩(wěn)定性造成了嚴(yán)重威脅。為了構(gòu)建安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境，就需要程序員了解Web頁面中SQL注入攻擊的原理和過程，并制定有效的預(yù)防對(duì)策，降低SQL注入攻擊發(fā)生概率。

[1]吳為團(tuán),鄭海燕,張銳麗.基于Web應(yīng)用程序的SQL注入攻擊和防范[C].中國通信學(xué)會(huì)學(xué)術(shù)年會(huì),2015.

[2]馬俊,段興林.Web應(yīng)用系統(tǒng)中SQL注入的分析與預(yù)防[J].信息技術(shù),2015(8):71-73.