一、概述1. 攻击原理
SQL注入是较常见的网络攻击方式之一,主要针对WEB应用,利用程序员编写代码的疏忽,对于连接数据库的应用,通过重组SQL语句,使服务器执行恶意SQL代码,从而获取到非授权的权限和资料。京东 16年12月10日 泄露12G用户账号信息。SQL 注入在OWASP2013、2017中排名都是在首位。
2. 如果判断有没有SQL注入漏洞(1) 单引号判断针对get请求带整数参数的,请求参数:?id=1',如果页面报SQL运行错误,则可能存在SQL注入。
(2) 数字型判断有缺陷的代码语句:
select * from table where id=3
如果提交参数?id= x and 1=1构造成如下SQL:
select * from table where id=1 and 1=2
如果页面报SQL运行错误,则可能存在SQL注入。
(3) 字符型判断有缺陷的代码语句:
select * from table where id='x'
如果提交参数?id=x' and '1'='1构造如下SQL:
select * from table where id= 'x' and '1'='1'
如果页面报SQL运行错误,则可能存在 SQL注入。
2. 应对方案- 不信任用户的输入
- 输入字符串过滤
- 字符转义
- 避免用拼接字符串、组合成SQL语句的方式来执行SQL
- 不要使用管理员权限连接数据库,数据库访问权限设置最小化
- 机密信息加密或进行哈希处理
- 程序异常时对错误进行捕获,避免原生错误返回给用户
github.com/BCable/sqlier
(2) 获取信息./sqlier.sh -s 10 网址
(3) 参数(4) 猜测表名字段
- -c [host] 清除站点信息.
- -o [file] 输出破解的密码.
- -s [seconds] 每个请求间隔时间.
- -u [usernames] 暴力破解猜测用户名,用逗号隔开.
- -w [options] wget参数.
2. SQLmap
- --table-names [table_names] 猜测表名,用逗号隔开。
- --user-fields [user_fields] 猜测用户名字段,逗号隔开。
- --pass-fields [pass_fields] 猜测密码字段,逗号隔开。
一款用来检测与利用SQL注入漏洞的工具。
安装
pip install sqlmap
SQL注入点可以提交SQL语句地方就是SQL注入点。想进入SQL注入,先找到SQL注入点。
检测注入点是否可用
3. jSky
python sqlmap.py -u "http://test/test.aspx?id=123"
国内深圳宇造诺赛公司出品的一款WEB漏洞扫描工具,收费软件。
4. Pangolin(穿山甲)也是宇造诺赛的产品,专门进行SQL注入扫描。
5. iiscan 亿思在线免费的网站漏洞检测平台,可以检测SQL注入漏洞、跨站漏洞等。
6. MDCSOFT WEB应用防火墙集WEB防护、网页保护、负载均衡、应用交付一体的WEB整体安全防护设备。
7. 其它工具,
- 啊d注入工具
- 阿里云在线漏洞扫描