黑客惡意注入SQL命令，是開發(fā)的大意還是測試的疏忽？

第一最寂寞i

獲獎詳情：http://72891.cn/thread-4203429-1-1.html

近日中信證券山東站點發(fā)現(xiàn)被黑客通過SQL注入的方式滲透到內(nèi)網(wǎng)，最終導致大量客戶信息泄露。因為系統(tǒng)存在漏洞才會讓黑客利用應用程序，將惡意的SQL命令注入到后臺數(shù)據(jù)引擎執(zhí)行，從而獲取非法數(shù)據(jù)和權(quán)限。中信證券大量客戶信息被泄露，糾結(jié)誰該背鍋？是開發(fā)的大意還是測試的疏忽？在信息安全尤為重要的今天，我們將如何保證我們的軟件不存在SQL非法注入？


1. SQL非法注入危害有哪些？
2. 如何檢索我們需要的數(shù)據(jù)？如何通過SQL注入更新和改變數(shù)據(jù)庫中的數(shù)據(jù)？
3. 如何在開發(fā)環(huán)節(jié)避免SQL注入，你用過哪些方法？
4. 在測試過程中，你用過哪些方法來檢測SQL注入？


討論時間：2015年10月19日—2015年11月19日


獎品設(shè)置：
活動結(jié)束后，我們將選取4名討論精彩的同學送《Oracle 12c PL/SQL  程序設(shè)計終極指南》。


    出版社： 機械工業(yè)出版社
    ISBN：9787111503286
    版次：1
    商品編碼：11712238
    包裝：平裝
    叢書名： 數(shù)據(jù)庫技術(shù)叢書
    開本：16開
    出版時間：2015-06-01
    用紙：膠版紙
    頁數(shù)：705

內(nèi)容簡介：全書按照PL/SQL程序設(shè)計的實際需要進行組織，分基礎(chǔ)篇、開發(fā)篇、高級篇三篇�；�礎(chǔ)篇介紹了PL/SQL程序設(shè)計的基礎(chǔ)知識，包括基本語法、控制結(jié)構(gòu)、游標、異常處理等；開發(fā)篇介紹了PL/SQL程序最實用的開發(fā)技術(shù)，包括子程序、包、觸發(fā)器、動態(tài)SQL、批綁定、子程序依賴性等；高級篇介紹了Oracle對象、LOB大對象、作業(yè)調(diào)度管理、性能優(yōu)化以及PL/SQL內(nèi)置包等高級特性。

試讀樣章： Oracle 12c PLSQL 程序設(shè)計終極指南 試讀.pdf (3.54 MB, 下載次數(shù): 55)

2015-10-19 15:11 上傳

點擊文件名下載附件

chenxing2

1. SQL非法注入危害有哪些？

    > 數(shù)據(jù)泄露
    > 數(shù)據(jù)刪除
    > 數(shù)據(jù)篡改
    等等

2. 如何檢索我們需要的數(shù)據(jù)？如何通過SQL注入更新和改變數(shù)據(jù)庫中的數(shù)據(jù)？

   這個檢索是指注入獲��？

   打開瀏覽器-->打開網(wǎng)站-->按F12--->點擊按鈕--->查看發(fā)送請求--->猜測業(yè)務(wù)模型--->構(gòu)造SQl

   比如這個請求：url?uid=1
   篡改為：         url?uid=1'or1=1

   如果存在漏洞，則可能將該表中所有用戶的數(shù)據(jù)列出來。

   至于更新改變也是類似操作


3. 如何在開發(fā)環(huán)節(jié)避免SQL注入，你用過哪些方法？

   在java開發(fā)中，不使用拼SQl的方式，使用預處理語句可避免，現(xiàn)在的ORM框架也都能預防SQL注入，就怕開發(fā)人員不按規(guī)矩來

4. 在測試過程中，你用過哪些方法來檢測SQL注入？

  這個不清楚，沒做過這種測試。
  很多測試人員也不會測
  這個應該屬于安全測試類別，只有這類的測試人員估計才能做。

開發(fā)的話，都是通過代碼審核來發(fā)現(xiàn)可能潛在的問題

jieforest

真恐怖，關(guān)注。


1. SQL非法注入危害有哪些？
危害很多。
1）獲取部分或整個數(shù)據(jù)庫的數(shù)據(jù)
2）刪除或修改現(xiàn)有的數(shù)據(jù)庫
3）破壞網(wǎng)站的運營
4）曝光數(shù)據(jù)

2. 如何檢索我們需要的數(shù)據(jù)？如何通過SQL注入更新和改變數(shù)據(jù)庫中的數(shù)據(jù)？
檢索數(shù)據(jù)肯定是SELECT語句嘛。
要實現(xiàn)SQL注入，比如可以這樣輸入
and 1=(SELECT IS_SRVROLEMEMBER(sysadmin));--
又比如
union select 1 from information_schema.tables

3. 如何在開發(fā)環(huán)節(jié)避免SQL注入，你用過哪些方法？
1）對用戶提交的輸入信息進行驗證，確保內(nèi)容的合法。
在客戶端，可以通過網(wǎng)頁上的JS，對內(nèi)容進行過濾，讓提交的內(nèi)容合法。
在服務(wù)器端，同樣需要檢查用戶輸入的內(nèi)容，再次驗證。
2）將用戶的敏感信息進行加密處理
將用戶提交的敏感信息如密碼等，先加密處理，再與數(shù)據(jù)庫的內(nèi)容進行比對，由于密文是無特殊意義的，也就失去了攻擊的可能。
3）編寫存儲過程來執(zhí)行所有的查詢
可以防止攻擊者利用單引號和連字符實施攻擊。

4. 在測試過程中，你用過哪些方法來檢測SQL注入？
1）使用專業(yè)的漏洞掃描工具
有這些：SQL ower Injector、SQLIer、SQLMap、SQLNinja、SQLID、Pangolin、BSQL Hacker、The Mole、Havij、Enema SQLi、sqlsus、Safe3 SQL Injector、SQL Poizon等。
其中，BSQL Hacker和Enema SQLi用得較多。

qingduo04

好活動，好書，支持..........

nail78

1. SQL非法注入危害有哪些？
   可以獲取網(wǎng)站數(shù)據(jù)，還可以生成網(wǎng)站后門，后門程序可以得到用戶的權(quán)限，包括對數(shù)據(jù)庫的增刪查改，甚至文件的修改，因為mysql 支持select   into outfile的寫入文件的功能。
   
2. 如何檢索我們需要的數(shù)據(jù)？如何通過SQL注入更新和改變數(shù)據(jù)庫中的數(shù)據(jù)？
    sql注入的手法非常靈活，通過sql語句的select 后面加and,or等子句，如
    猜表名：And (Select count(*) from 表名)<>0
    獲得數(shù)據(jù)庫連接用戶名：；and user>0
    繞過后臺：select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a';
   等等，

3. 如何在開發(fā)環(huán)節(jié)避免SQL注入，你用過哪些方法？
    要防御SQL注入，用戶的輸入就絕對不能直接被嵌入到SQL語句中，可以使用參數(shù)化的語句，盡量不要拼接SQL語句

4. 在測試過程中，你用過哪些方法來檢測SQL注入？
   可以手工檢測，也可以利用工具進行檢測

adidiaos丶丶

國產(chǎn)碼農(nóng)技術(shù)真他娘的菜回復 1# 第一最寂寞i


   

baopbird2005

友情支持，對于這方面沒有涉及啊

lsstarboy

1. SQL非法注入危害有哪些？

sql注入是危害比較大的一種手段，也是非常常見，并且黑客最常用的一種。獲取用戶信息是小事，有些大點的漏洞會有數(shù)據(jù)庫的寫權(quán)限。

2. 如何檢索我們需要的數(shù)據(jù)？如何通過SQL注入更新和改變數(shù)據(jù)庫中的數(shù)據(jù)？

sql注入一般靠特殊字符來拼接，將正常的查詢截斷，變正帶有攻擊性的查詢語句。

3. 如何在開發(fā)環(huán)節(jié)避免SQL注入，你用過哪些方法？
php的話，最好使用pdo來進行查詢、更新等工作，有了prepare的步驟，可以防止大多數(shù)的sql注入，因為pdo查詢、更新等使用的是占位符，后面到來的真實數(shù)據(jù)不會插入到sql語句中，從根本上提高了防御注入的能力。
（1）如上所述，使用pdo，會使注入風險大幅度下降；
（2）對所有REQUEST進行過濾，但這會影響性能，小系統(tǒng)可以使用；
（3）不允許模塊、用戶程序直接操作REQUEST（包括GET、POST、UPDATE等），而使用專門過濾過的接口來處理，這樣不是太影響性能；
（4）在獲取用戶數(shù)據(jù)的時候，必須進行嚴格過濾，白名單制更安全一些，比如姓名字段，就只能使用2-5個漢字。
       程序在獲取所有數(shù)據(jù)時，不能直接操作，而必須指定類型，比如：password，xm（姓名），interger，email，phone-number等，這樣基本上可以杜絕注入。
（5）sql注入最常用的幾個字符：單引號、雙引號、重音符號等，一定要過濾、過濾再過濾；另外還要注意%2F的形式，有時系統(tǒng)會自動轉(zhuǎn)為特殊符號。

4. 在測試過程中，你用過哪些方法來檢測SQL注入？

sqlmap比較好用，另外安全工作，kali是不二之選。

rover12421

1. SQL非法注入危害有哪些？
輕著訪問到了不該訪問的數(shù)據(jù).重者可以直接拿到數(shù)據(jù)庫權(quán)限.這個在mysql,mssql上是有案例的,特別是早期的mssql.

2. 如何檢索我們需要的數(shù)據(jù)？如何通過SQL注入更新和改變數(shù)據(jù)庫中的數(shù)據(jù)？
sql注入,可以分為單行注入,和多行注入.單行注入,就是這個注入漏洞智能執(zhí)行一條sql語句,這種構(gòu)造起sql比較累,需要對sql比較了解才行.
多行注入,就是這個注入語句可以執(zhí)行多條sql,這個好辦很多.一般的sql都是以`;`結(jié)束,拼接多條就好了.偽代碼可以是: origin select sql; new update select sql; origin select sql;

3. 如何在開發(fā)環(huán)節(jié)避免SQL注入，你用過哪些方法？
用一些表映射代碼庫操作,這種庫一般有做非法字符檢查.url參數(shù)檢查,過濾非法字符.sql盡量不用用拼接模式,如果用拼接模式,拼接完之后,做sql檢查.sql操作一般都提供預處理模式,可以避免很多sql注入.能用非字符串的,盡量不要用字符串.
sql錯誤不拋出到頁面,可以記錄到數(shù)據(jù)庫.這樣就算有sql注入,因為沒有信息輸出,就很難界定注入點了.

4. 在測試過程中，你用過哪些方法來檢測SQL注入？
url參數(shù)后面加上`;`,` --`, ` and 1=1 `, `#`等字符來做簡單判斷

bfmo

1. SQL非法注入危害有哪些？
      SQL注入漏洞的危害不僅體現(xiàn)在數(shù)據(jù)庫層面，還有可能危及承載數(shù)據(jù)庫的操作系統(tǒng)；
      如果SQL注入被用來掛馬，還可能用來傳播惡意軟件等，這些危害主要包括：
　　數(shù)據(jù)庫信息泄漏：數(shù)據(jù)庫中存儲的用戶隱私信息泄露。
　　網(wǎng)頁篡改：通過操作數(shù)據(jù)庫對特定網(wǎng)頁進行篡改。
　　網(wǎng)站被掛馬，傳播惡意軟件：修改數(shù)據(jù)庫一些字段的值，嵌入網(wǎng)馬鏈接，進行掛馬攻擊。
　　數(shù)據(jù)庫被惡意操作：數(shù)據(jù)庫服務(wù)器被攻擊，數(shù)據(jù)庫的系統(tǒng)管理員帳戶被竄改。
　　服務(wù)器被遠程控制，被安裝后門：經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng)。
　　破壞硬盤數(shù)據(jù)，癱瘓全系統(tǒng)。
2. 如何檢索我們需要的數(shù)據(jù)？如何通過SQL注入更新和改變數(shù)據(jù)庫中的數(shù)據(jù)？
利用SQL注入獲取數(shù)據(jù)庫數(shù)據(jù)，其方法可以大致分為聯(lián)合查詢、報錯、布爾盲注以及延時注入，通常這些方法都是基于select查詢語句中的SQL注射點來實現(xiàn)的。當發(fā)現(xiàn)了一個基于insert、update、delete語句的注射點時（比如有的網(wǎng)站會記錄用戶瀏覽記錄，包括referer、client_ip、user-agent等，還有類似于用戶注冊、密碼修改、信息刪除等功能），還可以用如上方法獲取我們需要的數(shù)據(jù)。
3. 如何在開發(fā)環(huán)節(jié)避免SQL注入，你用過哪些方法？
主要方法有：
1.過濾URL中的一些特殊字符，動態(tài)SQL語句使用PrepareStatement..
2.注入的方式就是在查詢條件里加入SQL字符串. 可以檢查一下提交的查詢參數(shù)里是否包含SQL,但通常這樣無益.
最好的辦法是不要用拼接SQL字符串,可以用prepareStatement,參數(shù)用set方法進行填裝
3.sql注入形式：...where name="+name+",這樣的sql語句很容易sql注入，可以這樣：
jdbcTemplate.update("delete from userinfo where id=? and userId=?", new Object[]{userInfo.getId(),userInfo.getUserId()});
4.Sql注入漏洞攻擊：如1'or'1'='1
使用參數(shù)化查詢避免
cmd.CommandText="select count(*) from 表名 where username=@a and password=@b";
cmd.parameters.Add(new SqlParameter("a",".."));
cmd.parameters.Add(new SqlParameter("b",".."));
5. 前端的一些設(shè)置：
（1：向 CA 購買證書，使用 HTTPS 進行通信，以保證在網(wǎng)絡(luò)傳輸過程中是安全的
（2：避免 XSS 注入（頁面回顯的 input text, input hidden 均過濾 <、>、"、' 等字符等）
（3：使用隨機鍵盤或者安全控件防止鍵盤木馬記錄用戶的輸入
（4：若要在 Cookie 中寫入數(shù)據(jù)，盡量使用 Cookie 的 HttpOnly 屬性
（5：響應中設(shè)置一些諸如 X-Frame-Options、X-XSS-Protection 等高版本瀏覽器支持的 HTTP 頭
（6: 不管客戶端是否做過數(shù)據(jù)校驗，在服務(wù)端必須要有數(shù)據(jù)校驗（長度、格式、是否必填等等）
（7: SQL 語句采用 PreparedStatement 的填充參數(shù)方式，嚴禁使用字符串拼接 SQL 或者 HQL 語句
4. 在測試過程中，你用過哪些方法來檢測SQL注入？
以檢測文本型的注入漏洞方法為例：
現(xiàn)在假設(shè)有一個新聞頁面，URL 是 localhost/news.asp?id=123，
1. 在瀏覽器中打開，可以看到一個正常的新聞頁面；
2. 在URL地址后面加上-1，URL變成： localhost/news.asp?id=123-1，如果返回的頁面和前面不同
，是另一則新聞，則表示有注入漏洞，是數(shù)字型的注入漏洞；在 URL地址后面加上 -0，URL變成
localhost/news.asp?id=123-0，返回的頁面和前面的頁面相同，加上-1，返回錯誤頁面，則也表
示存在注入漏洞，是數(shù)字型的。
否則：
3. 在URL的地址后面加上'%2B'，URL地址變?yōu)椋?localhost/news.asp?id=123'%2B'，返回的頁面和
1同；加上'2%2B'asdf，URL地址變?yōu)椋?localhost/news.asp?id=123'%2Basdf，返回的頁面和1不同
，或者說未發(fā)現(xiàn)該條記錄，或者錯誤，則表示存在注入點，是文本型的。
為什么這樣可以呢？
我們可以從程序的角度來考慮一下。程序員的這條語句大致應該是這樣的：
select * from news where id=123
當我們在后面加上 -1 后，語句變?yōu)?br /> select * from news where id=123-1
SQL服務(wù)器在執(zhí)行這條語句時會進行運算，實際執(zhí)行的是：
select * from news where id=122
這樣選出來的就是另外一條新聞記錄了。如果該記錄存在，就是另一則新聞；否則會顯示記錄不存在，或者出錯
。呵呵。 這也同時表示程序未對輸入的數(shù)據(jù)進行過濾，存在數(shù)值型的注入漏洞。
如果 SQL 語句時這樣的：
select * from news where id='123'
那么我們在后面加上 '%2B' 之后，語句變?yōu)?br /> select * from news where id='123'+''
%2B 是 + 的URL編碼。 這樣之后，SQL服務(wù)器實際執(zhí)行的是：
select * from news where id='123'
會返回同樣的頁面。
加上 '%2B'asdf 之后，語句變?yōu)?br /> select * from news where id='123'+'asdf'
實際執(zhí)行的是：
select * from news where id='123asdf'
返回頁面不存在，或者顯錯。