由于ASP脚本系统在互联网上广泛的应用,针对ASP系统的脚本攻击越来越流行。在这些攻击中,攻击者多是利用注入、跨站、暴库、上传、cookies欺骗、旁注等手段为切入点的进而控制服务器的。针对目前网络上流行的SQL注入攻击,本文给出一种简单易行的解决办法,希望下一个被注入的不是你。
【SQL注入的漏洞简介】
所谓SQL注入式攻击,也就是SQL Injection,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。来自官方的说法是:“当应用程序使用输入内容来构造动态SQL语句以访问数据库时,会发生SQL注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生SQL注入攻击。SQL注入可能导致攻击者能够使用应用程序登录在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库,这种问题会变得很严重。”在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。而许多网站程序在编写时,没有对用户输入数据的合法性进行判断或者程序中本身的变量处理不当,使应用程序存在安全隐患。这样用户就可以提交一段数据库查询代码,(一般是在浏览器地址栏进行,通过正常的www端口访问)根据程序返回的结果,获得一些敏感的信息或者控制整个服务器,于是SQL注入产生了。其实简单点说,SQL注入的原理就是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想到得到的资料。
【SQL注入漏洞简单利用】
由于本文并不打算教你如何进行SQL注入攻击,所以只象征性的演示一下攻击者进行注入攻击的过程,对这方面感兴趣的可以参考其它文章。针对Access数据库的注入攻击过程大都比较麻烦,因为一般的步骤都是猜解管理员表名、字段名、字符长度、字符内容、寻找后台,所以网上产生了许多的注入工具,很容易上手,或许这也是注入攻击之所以流行的原因之一吧。笔者测试的是雨点下载系统,其list.asp、view.asp等文件都由于对参数ID没过滤而产生注入漏洞,常规的注入就不多说了,给大家抓一个图,如图1:
从图中可以看到注入点:http://202.193.72.123/list.asp?id=84进行注入,首先判断是否能注入,如果可以就显示“恭喜,该URL可以注入!”,然后进行表名的猜解,猜解到的数据库表名有两个,我们选择了与管理员账号密码有关的表userinfo进行猜解,猜解出来的字段有id、usr、pwd,然后我们对表字段里的内容进行猜解,这里猜到管理员账号为admin,管理员密码为admin888,整个过程手工完成比较麻烦,下面介绍Union查询的注入,一下子就暴出管理员账号密码了。雨点下载系统作为一套开源的代码,我们不难得知其数据库结构,管理员账号密码信息放在userinfo表段里面,其对应的字段分别为id、usr、pwd,另外雨点下载系统管理员与普通用户放在一个表,userinfo表里面有个userclassid字段,表示他们所对应的权限,而userclass表很明确的告诉了我们什么ID对应着什么权限,这里我们要进管理后台,当然得要系统管理员的账号密码,也就是在构造的时候加上相应的where判断语句。确定注入点情况下我们构造如下的语法:
union select usr,2,3 from userinfo where userclassid=1 结果返回显示有管理员账号的页面,如图2:
把上面构造的注入语句中的usr换为pwd就返回管理员密码,不再抓图。有了管理员账号密码再加上已经的管理后台地址,其它能做的事就不说了,不要破坏哦!
【SQL注入漏洞简单防范】
现在网络上比较流行的SQL注入工具的工作方式是通过GET和POST来完成具体的注入的,如果我们将注入时所用到的一些特殊符号过滤掉,那注入工具就没用了,从而达到了防注入的目的。比如针对GET提交方式进行注入的防范代码如下:
以下是引用片段:
dim sql_injdata SQL_inj SQL_Get
SQL_injdata = "’|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" SQL_inj = split(SQL_Injdata,"|") If Request.QueryString<>"" Then For Each SQL_Get In Request.QueryString For SQL_Data=0 To Ubound(SQL_inj) if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then Response.Write " " Response.end end if next Next End If |
同样,POST的也要检测,注意这里很灵活的,只要把与注入有关的关键词写到SQL_injdata里再用”|”隔开就可以了。许多朋友甚至不会写代码怎么办,别急,有通用的防注入程序啦。这里笔者将为你介绍通用防注入程序是由火狐技术联盟枫知秋[F.S.T]所写的通用防注入程序2.0完美版,还是拿雨点下载系统的list.asp做例子,在此文件的页面头部用 调用即可。我们再手工测试下其注入漏洞:
在后面加一个‘测试出现如下画面,见图3:
点确定后返回如下信息,见图4:
如果要查看相关攻击信息的话,可以去看数据库里的记录,如图5:
够详细了吧,记录了攻击的IP,受攻击的页面以及传递的参数,攻击的方式分为Get与Post,还记录了攻击的时间与攻击的具体内容。管理员看到这些信息能做什么,不用我多说,你怕了吧!当然本着对读者负责的态度笔者说下并不是有了一个通用防注入程序就没事了,因为Cookies也可以传递参数的,另外从产生漏洞的根源来说还是要过渗变量,对于数字型的变量用IsNumeric()判断一下就好,对于字符型的过滤一下单引号使构造注入语句的时候单引号无法闭合就可以了,下面给两个函数给大家参考:
以下是引用片段:
’ ============================================
’ 判断是否是数字,否则用默认值替换 ’ iCheck 要替换的变量,iDefault 默认值 ’ ============================================ Function GetSafeInt(iCheck,iDefault) If Trim(iCheck)="" Then GetSafeInt = iDefault Exit Function End If If IsNumeric(iCheck)=false Then GetSafeInt = iDefault Exit Function End If GetSafeInt = iCheck End Function ’ ============================================ ’ 得到安全字符串,在查询中或有必要强行替换的表单中使用 ’ str 要替换的字符串 ’ ============================================ Function GetSafeStr(str) ’ GetSafeStr = Replace(Replace(Replace(Trim(str), "’", ""), Chr(34), ""), ";", "") GetSafeStr = Replace(Replace(Replace(Replace(Replace(str,"’","‘"),"""","“"),"&",""),"<","<"),">",">") End Function |
再说点与程序无关的吧。因为现在各大网站或多或少是用别人的代码拼起来的,所以一旦原程序出现漏洞,那么这个网站也会跟着受害。在此,所以建议网站管理员不要拿起别人的程序就用,如果你实在不会写ASP,你总会改数据库的结构吧,实在不会写你总会设IIS让其不报错吧。这里再说两种防止ASP页面暴出错误信息的方法:
方法1:打开你的IIS管理器(以IIS6.0为例),选择你的网站=》属性页面=》主目录选项卡=》点击配置按钮=》调试选项卡=》向客户端发送下列文本错误消息
这样,即使入侵者找到了注入点,注入后,得到也只是服务器返回的固定的错误消息。不能得到任何有价值的错误信息。
方法2:在你的ASP语句中(一般是在最开头的地方),加上一句
On Error Resume Next
(注意,这句必须加在里面,不然IIS可不认。)
这就是著名的容错语句,当ASP语句执行时发生错误,就跳过错误,继续向下执行,而且不会返回错误信息。(当然写程序的时候就不要加了哦,方便我们自己找错嘛。)