IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉貼|軟件發(fā)布

您當前所在位置: 首頁數(shù)據(jù)庫MSSQL → 談談六個防止SQL注入式攻擊的建議

談談六個防止SQL注入式攻擊的建議

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  SQL注入攻擊的危害性很大。在講解其防止辦法之前,數(shù)據(jù)庫管理員有必要先了解一下其攻擊的原理。這有利于管理員采取有針對性的防治措施。

  一、 SQL注入攻擊的簡單示例。

  statement := "SELECT * FROM Users WHERE Value= " + a_variable + "

  上面這條語句是很普通的一條SQL語句,他主要實現(xiàn)的功能就是讓用戶輸入一個員工編號然后查詢處這個員工的信息。但是若這條語句被不法攻擊者改裝過后,就可能成為破壞數(shù)據(jù)的黑手。如攻擊者在輸入變量的時候,輸入以下內(nèi)容SA001’;drop table c_order--。那么以上這條SQL語句在執(zhí)行的時候就變?yōu)榱薙ELECT * FROM Users WHERE Value= ‘SA001’;drop table c_order--。

  這條語句是什么意思呢?‘SA001’后面的分號表示一個查詢的結束和另一條語句的開始。c_order后面的雙連字符 指示當前行余下的部分只是一個注釋,應該忽略。如果修改后的代碼語法正確,則服務器將執(zhí)行該代碼。系統(tǒng)在處理這條語句時,將首先執(zhí)行查詢語句,查到用戶編號為SA001 的用戶信息。然后,數(shù)據(jù)將刪除表C_ORDER(如果沒有其他主鍵等相關約束,則刪除操作就會成功)。只要注入的SQL代碼語法正確,便無法采用編程方式來檢測篡改。因此,必須驗證所有用戶輸入,并仔細檢查在您所用的服務器中執(zhí)行構造 SQL命令的代碼。

  二、 SQL注入攻擊原理。

  可見SQL注入攻擊的危害性很大。在講解其防止辦法之前,數(shù)據(jù)庫管理員有必要先了解一下其攻擊的原理。這有利于管理員采取有針對性的防治措施。

  SQL注入是目前比較常見的針對數(shù)據(jù)庫的一種攻擊方式。在這種攻擊方式中,攻擊者會將一些惡意代碼插入到字符串中。然后會通過各種手段將該字符串傳遞到SQLServer數(shù)據(jù)庫的實例中進行分析和執(zhí)行。只要這個惡意代碼符合SQL語句的規(guī)則,則在代碼編譯與執(zhí)行的時候,就不會被系統(tǒng)所發(fā)現(xiàn)。

  SQL注入式攻擊的主要形式有兩種。一是直接將代碼插入到與SQL命令串聯(lián)在一起并使得其以執(zhí)行的用戶輸入變量。上面筆者舉的例子就是采用了這種方法。由于其直接與SQL語句捆綁,故也被稱為直接注入式攻擊法。二是一種間接的攻擊方法,它將惡意代碼注入要在表中存儲或者作為原書據(jù)存儲的字符串。在存儲的字符串中會連接到一個動態(tài)的SQL命令中,以執(zhí)行一些惡意的SQL代碼。

  注入過程的工作方式是提前終止文本字符串,然后追加一個新的命令。如以直接注入式攻擊為例。就是在用戶輸入變量的時候,先用一個分號結束當前的語句。然后再插入一個惡意SQL語句即可。由于插入的命令可能在執(zhí)行前追加其他字符串,因此攻擊者常常用注釋標記"—"來終止注入的字符串。執(zhí)行時,系統(tǒng)會認為此后語句位注釋,故后續(xù)的文本將被忽略,不背編譯與執(zhí)行。

  三、 SQL注入式攻擊的防治。

  既然SQL注入式攻擊的危害這么大,那么該如何來防治呢?下面這些建議或許對數(shù)據(jù)庫管理員防治SQL注入式攻擊有一定的幫助。

  1、 普通用戶與系統(tǒng)管理員用戶的權限要有嚴格的區(qū)分。

  如果一個普通用戶在使用查詢語句中嵌入另一個Drop Table語句,那么是否允許執(zhí)行呢?由于Drop語句關系到數(shù)據(jù)庫的基本對象,故要操作這個語句用戶必須有相關的權限。在權限設計中,對于終端用戶,即應用軟件的使用者,沒有必要給他們數(shù)據(jù)庫對象的建立、刪除等權限。那么即使在他們使用SQL語句中帶有嵌入式的惡意代碼,由于其用戶權限的限制,這些代碼也將無法被執(zhí)行。故應用程序在設計的時候,最好把系統(tǒng)管理員的用戶與普通用戶區(qū)分開來。如此可以最大限度的減少注入式攻擊對數(shù)據(jù)庫帶來的危害。

  2、 強迫使用參數(shù)化語句。

  如果在編寫SQL語句的時候,用戶輸入的變量不是直接嵌入到SQL語句。而是通過參數(shù)來傳遞這個變量的話,那么就可以有效的防治SQL注入式攻擊。也就是說,用戶的輸入絕對不能夠直接被嵌入到SQL語句中。與此相反,用戶的輸入的內(nèi)容必須進行過濾,或者使用參數(shù)化的語句來傳遞用戶輸入的變量。參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中。采用這種措施,可以杜絕大部分的SQL注入式攻擊。不過可惜的是,現(xiàn)在支持參數(shù)化語句的數(shù)據(jù)庫引擎并不多。不過數(shù)據(jù)庫工程師在開發(fā)產(chǎn)品的時候要盡量采用參數(shù)化語句。

  3、 加強對用戶輸入的驗證。

  總體來說,防治SQL注入式攻擊可以采用兩種方法,一是加強對用戶輸入內(nèi)容的檢查與驗證;二是強迫使用參數(shù)化語句來傳遞用戶輸入的內(nèi)容。在SQLServer數(shù)據(jù)庫中,有比較多的用戶輸入內(nèi)容驗證工具,可以幫助管理員來對付SQL注入式攻擊。測試字符串變量的內(nèi)容,只接受所需的值。拒絕包含二進制數(shù)據(jù)、轉義序列和注釋字符的輸入內(nèi)容。這有助于防止腳本注入,防止某些緩沖區(qū)溢出攻擊。測試用戶輸入內(nèi)容的大小和數(shù)據(jù)類型,強制執(zhí)行適當?shù)南拗婆c轉換。這即有助于防止有意造成的緩沖區(qū)溢出,對于防治注入式攻擊有比較明顯的效果。

  如可以使用存儲過程來驗證用戶的輸入。利用存儲過程可以實現(xiàn)對用戶輸入變量的過濾,如拒絕一些特殊的符號。如以上那個惡意代碼中,只要存儲過程把那個分號過濾掉,那么這個惡意代碼也就沒有用武之地了。在執(zhí)行SQL語句之前,可以通過數(shù)據(jù)庫的存儲過程,來拒絕接納一些特殊的符號。在不影響數(shù)據(jù)庫應用的前提下,應該讓數(shù)據(jù)庫拒絕包含以下字符的輸入。如分號分隔符,它是SQL注入式攻擊的主要幫兇。如注釋分隔符。注釋只有在數(shù)據(jù)設計的時候用的到。一般用戶的查詢語句中沒有必要注釋的內(nèi)容,故可以直接把他拒絕掉,通常情況下這么做不會發(fā)生意外損失。把以上這些特殊符號拒絕掉,那么即使在SQL語句中嵌入了惡意代碼,他們也將毫無作為。

  故始終通過測試類型、長度、格式和范圍來驗證用戶輸入,過濾用戶輸入的內(nèi)容。這是防止SQL注入式攻擊的常見并且行之有效的措施。

  4、 多多使用SQL Server數(shù)據(jù)庫自帶的安全參數(shù)。

  為了減少注入式攻擊對于SQL Server數(shù)據(jù)庫的不良影響,在SQLServer數(shù)據(jù)庫專門設計了相對安全的SQL參數(shù)。在數(shù)據(jù)庫設計過程中,工程師要盡量采用這些參數(shù)來杜絕惡意的SQL注入式攻擊。

  如在SQL Server數(shù)據(jù)庫中提供了Parameters集合。這個集合提供了類型檢查和長度驗證的功能。如果管理員采用了Parameters這個集合的話,則用戶輸入的內(nèi)容將被視為字符值而不是可執(zhí)行代碼。即使用戶輸入的內(nèi)容中含有可執(zhí)行代碼,則數(shù)據(jù)庫也會過濾掉。因為此時數(shù)據(jù)庫只把它當作普通的字符來處理。使用Parameters集合的另外一個優(yōu)點是可以強制執(zhí)行類型和長度檢查,范圍以外的值將觸發(fā)異常。如果用戶輸入的值不符合指定的類型與長度約束,就會發(fā)生異常,并報告給管理員。如上面這個案例中,如果員工編號定義的數(shù)據(jù)類型為字符串型,長度為10個字符。而用戶輸入的內(nèi)容雖然也是字符類型的數(shù)據(jù),但是其長度達到了20個字符。則此時就會引發(fā)異常,因為用戶輸入的內(nèi)容長度超過了數(shù)據(jù)庫字段長度的限制。

  5、 多層環(huán)境如何防治SQL注入式攻擊?

  在多層應用環(huán)境中,用戶輸入的所有數(shù)據(jù)都應該在驗證之后才能被允許進入到可信區(qū)域。未通過驗證過程的數(shù)據(jù)應被數(shù)據(jù)庫拒絕,并向上一層返回一個錯誤信息。實現(xiàn)多層驗證。對無目的的惡意用戶采取的預防措施,對堅定的攻擊者可能無效。更好的做法是在用戶界面和所有跨信任邊界的后續(xù)點上驗證輸入。如在客戶端應用程序中驗證數(shù)據(jù)可以防止簡單的腳本注入。但是,如果下一層認為其輸入已通過驗證,則任何可以繞過客戶端的惡意用戶就可以不受限制地訪問系統(tǒng)。故對于多層應用環(huán)境,在防止注入式攻擊的時候,需要各層一起努力,在客戶端與數(shù)據(jù)庫端都要采用相應的措施來防治SQL語句的注入式攻擊。

  6、 必要的情況下使用專業(yè)的漏洞掃描工具來尋找可能被攻擊的點。

  使用專業(yè)的漏洞掃描工具,可以幫助管理員來尋找可能被SQL注入式攻擊的點。不過漏洞掃描工具只能發(fā)現(xiàn)攻擊點,而不能夠主動起到防御SQL注入攻擊的作用。當然這個工具也經(jīng)常被攻擊者拿來使用。如攻擊者可以利用這個工具自動搜索攻擊目標并實施攻擊。為此在必要的情況下,企業(yè)應當投資于一些專業(yè)的漏洞掃描工具。一個完善的漏洞掃描程序不同于網(wǎng)絡掃描程序,它專門查找數(shù)據(jù)庫中的SQL注入式漏洞。最新的漏洞掃描程序可以查找最新發(fā)現(xiàn)的漏洞。所以憑借專業(yè)的工具,可以幫助管理員發(fā)現(xiàn)SQL注入式漏洞,并提醒管理員采取積極的措施來預防SQL注入式攻擊。如果攻擊者能夠發(fā)現(xiàn)的SQL注入式漏洞數(shù)據(jù)庫管理員都發(fā)現(xiàn)了并采取了積極的措施堵住漏洞,那么攻擊者也就無從下手了。

關鍵詞標簽:SQL注入

相關閱讀

文章評論
發(fā)表評論

熱門文章 淺談JSP JDBC來連接SQL Server 2005的方法 淺談JSP JDBC來連接SQL Server 2005的方法 SqlServer2005對現(xiàn)有數(shù)據(jù)進行分區(qū)具體步驟 SqlServer2005對現(xiàn)有數(shù)據(jù)進行分區(qū)具體步驟 sql server系統(tǒng)表損壞的解決方法 sql server系統(tǒng)表損壞的解決方法 MS-SQL2005服務器登錄名、角色、數(shù)據(jù)庫用戶、角色、架構的關系 MS-SQL2005服務器登錄名、角色、數(shù)據(jù)庫用戶、角色、架構的關系

相關下載

    人氣排行 配置和注冊ODBC數(shù)據(jù)源-odbc數(shù)據(jù)源配置教程 如何遠程備份(還原)SQL2000數(shù)據(jù)庫 SQL2000數(shù)據(jù)庫遠程導入(導出)數(shù)據(jù) SQL2000和SQL2005數(shù)據(jù)庫服務端口查看或修改 修改Sql Server唯一約束教程 SQL Server 2005降級到2000的正確操作步驟 sql server系統(tǒng)表損壞的解決方法 淺談JSP JDBC來連接SQL Server 2005的方法