日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

引言

目前值得高興的是，開發(fā)者在建立網(wǎng)站時，已經(jīng)開始關(guān)注安全問題了——幾乎每個開發(fā)者都知道SQL注入漏洞了。在本文中，我將為讀者介紹另一種與SQL數(shù)據(jù)庫相關(guān)的漏洞，雖然它的危害性與SQL注入不相上下，但目前卻很少為人所知。接下來，我將為讀者詳細展示這種攻擊手法，以及相應的防御策略。

背景知識

最近，我遇到了一段有趣的代碼，它嘗試盡一切可能來保護數(shù)據(jù)庫的訪問安全，例如每當新用戶進行注冊時，將運行以下代碼：

 
 
 

  
  
  

  
  
  
// Checking whether a user with the same username exists
  
  
  
$username = mysql_real_escape_string($_GET['username']);
  
  
  
$password = mysql_real_escape_string($_GET['password']);
  
  
  
$query = "SELECT * 
  
  
  
          FROM users 
  
  
  
          WHERE username='$username'";
  
  
  
$res = mysql_query($query, $database);
  
  
  
if($res) { 
  
  
  
  if(mysql_num_rows($res) > 0) {
  
  
  
    // User exists, exit gracefully
  
  
  
    .
  
  
  
    .
  
  
  
  }
  
  
  
  else {
  
  
  
    // If not, only then insert a new entry
  
  
  
    $query = "INSERT INTO users(username, password)
  
  
  
              VALUES ('$username','$password')";
  
  
  
    .
  
  
  
    .
  
  
  
  }
  
  
  
}
 
 
 

為了驗證登錄信息，將用到下列代碼：

 
 
 

  
  
  

  
  
  
$username = mysql_real_escape_string($_GET['username']);
  
  
  
$password = mysql_real_escape_string($_GET['password']);
  
  
  
$query = "SELECT username FROM users
  
  
  
          WHERE username='$username'
  
  
  
              AND password='$password' ";
  
  
  
$res = mysql_query($query, $database);
  
  
  
if($res) {
  
  
  
  if(mysql_num_rows($res) > 0){
  
  
  
      $row = mysql_fetch_assoc($res);
  
  
  
      return $row['username'];
  
  
  
  }
  
  
  
}
  
  
  
return Null;
 
 
 

安全注意事項周全嗎?

過濾用戶輸入?yún)?shù)了嗎? - 檢查了

使用單引號(')來增加安全性了嗎? - 檢查了

很好，還有什么可能出錯的地方嗎?

是的，攻擊者依然能夠以任意用戶身份進行登錄!

攻擊手法

在談論這種攻擊手法之前，首先需要介紹幾個至關(guān)重要的知識點。

1. 在處理SQL中的字符串時，字符串末尾的空格字符都會被刪除。換句話說，“vampire”與“vampire ”幾乎是等效的，這在大多數(shù)情況下是正確的，例如WHERE子句中的字符串或INSERT語句中的字符串。例如，以下語句的查詢結(jié)果，與使用用戶名“vampire”進行查詢時的結(jié)果是一樣的。

 
 
 

  
  
  
SELECT * FROM users WHERE username='vampire ';
 
 
 

但是，除此之外也確實存在例外情況，例如LIKE子句。注意，對尾部空白字符的這種修剪操作，主要是在“字符串比較”期間進行的。這是因為，SQL會在內(nèi)部使用空格來填充字符串，以便在比較之前使其它們的長度保持一致。

2. 在任意INSERT查詢中，SQL會根據(jù)varchar(n)來限制字符串的最大長度，也就是說，如果字符串的長度大于“n”個字符的話，那么僅使用字符串的前“n”個字符。例如，如果特定列的長度約束為“5”個字符，那么在插入字符串“vampire”時，實際上只能插入字符串的前5個字符，即“vampi”。

現(xiàn)在，讓我們建立一個測試數(shù)據(jù)庫來演示具體攻擊過程。

 
 
 

  
  
  
vampire@linux:~$ mysql -u root -p
  
  
  
mysql> CREATE DATABASE testing;
  
  
  
Query OK, 1 row affected (0.03 sec)
  
  
  
mysql> USE testing;
  
  
  
Database changed
 
 
 

我將創(chuàng)建一個數(shù)據(jù)表users，它有兩列，即username和password。并且，這兩個字段的最大長度為25個字符。接下來，我將插入一行記錄，其中以“vampire”作為用戶名，以“my_password”作為密碼。

 
 
 

  
  
  
mysql> CREATE TABLE users (
  
  
  
    ->   username varchar(25),
  
  
  
    ->   password varchar(25)
  
  
  
    -> );
  
  
  
Query OK, 0 rows affected (0.09 sec)
  
  
  
mysql> INSERT INTO users
  
  
  
    -> VALUES('vampire', 'my_password');
  
  
  
Query OK, 1 row affected (0.11 sec)
  
  
  
mysql> SELECT * FROM users;
  
  
  
+----------+-------------+
  
  
  
| username | password    |
  
  
  
+----------+-------------+
  
  
  
| vampire  | my_password |
  
  
  
+----------+-------------+
  
  
  
1 row in set (0.00 sec)
 
 
 

為了展示尾部空白字符的修剪情況，我們可以輸入下列命令：

 
 
 

  
  
  
mysql> SELECT * FROM users
  
  
  
    -> WHERE username='vampire       ';
  
  
  
+----------+-------------+
  
  
  
| username | password    |
  
  
  
+----------+-------------+
  
  
  
| vampire  | my_password |
  
  
  
+----------+-------------+
  
  
  
1 row in set (0.00 sec)
 
 
 

現(xiàn)在，假設一個易受攻擊的網(wǎng)站使用了前面提到的PHP代碼來處理用戶的注冊和登錄。為了入侵任意用戶的帳戶(就本例來說，用戶名為“vampire”)，只需使用用戶名“vampire[一些空白字符]1”和一個隨機密碼進行注冊即可。對于選擇的用戶名，前25個字符應該只包含vampire和空白字符。這樣做的好處是，將有助于繞過檢查特定用戶名是否已存在的查詢。

 
 
 

  
  
  
mysql> SELECT * FROM users
  
  
  
    -> WHERE username='vampire                   1';
  
  
  
Empty set (0.00 sec)
 
 
 

需要注意的是，在執(zhí)行SELECT查詢語句時，SQL是不會將字符串縮短為25個字符的。因此，這里將使用完整的字符串進行搜索，所以不會找到匹配的結(jié)果。接下來，當運行INSERT查詢語句時，它只會插入前25個字符。

 
 
 

  
  
  
mysql>   INSERT INTO users(username, password)
  
  
  
    -> VALUES ('vampire                   1', 'random_pass');
  
  
  
Query OK, 1 row affected, 1 warning (0.05 sec)
  
  
  
mysql> SELECT * FROM users
  
  
  
    -> WHERE username='vampire';
  
  
  
+---------------------------+-------------+
  
  
  
| username                  | password    |
  
  
  
+---------------------------+-------------+
  
  
  
| vampire                   | my_password |
  
  
  
| vampire                   | random_pass |
  
  
  
+---------------------------+-------------+
  
  
  
2 rows in set (0.00 sec)
 
 
 

很好，如果現(xiàn)在搜索“vampire”的話，將返回兩個用戶。注意，第二個用戶名實際上是“vampire”加上尾部的18個空格?，F(xiàn)在，如果使用用戶名“vampire”和密碼“random_pass”登錄的話，則所有搜索該用戶名的SELECT查詢都將返回第一個數(shù)據(jù)記錄，也就是原始的數(shù)據(jù)記錄。這樣的話，攻擊者就能夠以原始用戶身份登錄。

這個攻擊已經(jīng)在MySQL和SQLite上成功通過測試。我相信它同樣適用于其他數(shù)據(jù)庫下。

防御措施

顯然，要想開發(fā)安全的軟件，必須對這種安全漏洞嚴加防范。下面是我們可采取的幾項防御措施：

1. 應該為要求/預期具有唯一性的那些列添加UNIQUE約束。這實際上是一個非常重要的軟件開發(fā)規(guī)則。即使您的代碼已經(jīng)提供了完整性檢查，也要正確定義您的數(shù)據(jù)。由于'username'列具有UNIQUE約束，所以插入另一個記錄將是不可能的。這兩個字符串將被視為等同的，并且INSERT查詢將失敗。

2. 最好使用'id'作為數(shù)據(jù)庫表的主鍵。此外，數(shù)據(jù)應該通過程序中的id進行跟蹤。

3. 為了增加安全性，您還可以手動方式將輸入?yún)?shù)修剪為特定長度(具體長度可以視數(shù)據(jù)庫的中設置而定)。

名稱欄目：基于約束條件的SQL攻擊
文章轉(zhuǎn)載：http://www.dlmjj.cn/article/ccscpsi.html