"个性,始于不再与他人相较之时
—卡尔 拉格斐"
01注入基础概念
SQL是操作数据库的语言,日常的应用程序与数据库中进行数据交互是普遍的现象。黑客攻击渗入系统有种方式叫做SQL注入,从而获取业务数据,造成用户数据泄露或者恶意篡改数据、删除数据等,给企业带来实质的损失。
使用通俗的语言介绍SQL注入,就是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令用户发起请求时,将web页面中的URL、表单或者参数,进行修改拼装成SQL语句,传递给服务端,服务端把参数传递给SQL的执行语句,进行数据库的操作。
02注入的简单原理
是的,你没有看错,就测试过程中修改入参或者拦截接口请求修改参数。唯一的区别就是入参传递的格式有一定的要求。
下图中的WEB页面是OWASP靶机的SQL注入界面,页面功能是输入用户的ID,获取用户的信息。这个输入框是个SQL的注入点。
注:查找SQL的注入点可以利用自动探索的工具(如:工具SQLMap)。
关注公众号,了解如何探查程序中的SQL注入点
ITester测试集中营ITester软件测试者的集中营,在这里你可以学习行业知识、了解行业动向、获得简历指点、面试、收获一起成长的小伙伴,每周不定期为大家更新知识、谈谈工作与生活体会,爱测试欢迎你的加入~30篇原创内容
公众号
Submit对应的后端逻辑代码如下:
<?php
if(isset($_GET['Submit'])){
// Retrieve data
$id = $_GET['id'];
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";//着重看这行
$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' );
$num = mysql_numrows($result);
$i = 0;
while ($i < $num) {
$first = mysql_result($result,$i,"first_name");
$last = mysql_result($result,$i,"last_name");
echo '<pre>';
echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last;
echo '</pre>';
$i ;
}
}
?>
着重看SQL执行的这段代码和返回前端的代码,SQL执行的参数是通过前端传过来的id,id直接拼装在SQl语句中执行SQL并返回First name和Surname。
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
$result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' );
echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last;
咱们改造下入参,看看执行的效果,如下图:
后端的代码收到参数后,拼接到SQL语句的时候就长这个样子
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '' or '1=1'";
分析SQL句子 where 条件后面user_id = ' ' or '1=1'。
因为1=1永远成立,so不管where后面啥条件,where条件都是永久成立。所以SELECT first_name, last_name FROM users WHERE user_id = '' or '1=1'
等价于
SELECT first_name, last_name FROM users
最后执行的结果是查询出了users表中的所有用户数据。
结论:这就是SQL注入的基本形式
03注入的危害
1、数据库信息泄漏,攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
2、通过操作数据库对指定网页进行篡改;
3、修改数据库一些字段的值,嵌入木马链接,进行挂马攻击
4、攻击者进而可以对网页进行篡改,发布一些违法信息等。
5、服务器被远程控制安装后门。可以对数据库进行增加或删除操作
6、破坏硬盘数据,导致全系统瘫痪;
04如何避免被注入
首先,web前端的输入框要进行拦截和校验,如:正则表达式拦截标点、特殊字符等。
再次,server层的拦截和校验。(如java语言,使用JDBC进行数据操作时,使用PreparedStatement对象执行SQL操作,PreparedStatement对象对特殊字符会进行转义的操作,避免被注入sql)
之前不了解SQL注入时,认为测试在日常中是不会涉及到安全相关的工作。一直也认为没啥用,学他干啥。了解原理后,发现sql注入挺有趣的。并没用到多高端的技术,多牛的软件进行攻击破解,简单的利用代码编写的不严谨,同时利用SQL语言自有的功能,通过sql拼接的形式进行传递,尝试与数据库建立连接。只要连接上你的库,那你就危险了。轻则盗取你点数据,重则给你搞点破坏,让你无法运营。同时让我更加全面了解到,接口请求的参数中含有特殊字符,不仅对程序处理有影响,条件允许的情况下也会对数据产生危害。
,