SQL注入
代碼注入軟件漏洞的類型 来自维基百科,自由的百科全书
SQL注入(英語:SQL injection),也稱SQL隱碼或SQL注碼,是發生於應用程式與資料庫層的安全漏洞。簡而言之,是在輸入的字串之中夾帶SQL指令,在設計不良的程式當中忽略了字元檢查,那麼這些夾帶進去的惡意指令就會被資料庫伺服器誤認為是正常的SQL指令而執行,因此遭到破壞或是入侵。[2]
 | 此條目需要補充更多來源。 (2014年9月21日) |
| 「SQL注入」的各地常用名稱 | |
|---|---|
| 中國大陸 | SQL注入 |
| 臺灣 | SQL注入、SQL隱碼、SQL注碼[1] |
原因
在應用程式中若有下列狀況,則可能應用程式正暴露在SQL Injection的高風險情況下:
- 在應用程式中使用字串聯結方式或聯合查詢方式組合SQL指令。
- 在應用程式連結資料庫時使用權限過大的帳戶(例如很多開發人員都喜歡用最高權限的系統管理員帳戶(如常見的root,sa等)連接資料庫)。
- 在資料庫中開放了不必要但權力過大的功能(例如在Microsoft SQL Server資料庫中的xp_cmdshell延伸預存程序或是OLE Automation預存程序等)
- 太過於信任用戶所輸入的資料,未限制輸入的特殊字元,以及未對用戶輸入的資料做潛在指令的檢查。
作用原理
- SQL命令可查詢、插入、更新、刪除等,命令的串接。而以分號字元為不同命令的區別。(原本的作用是用於SubQuery或作為查詢、插入、更新、刪除……等的條件式)
- SQL命令對於傳入的字串參數是用單引號字元所包起來。(但連續2個單引號字元,在SQL資料庫中,則視為字串中的一個單引號字元)
- SQL命令中,可以夾帶註解(連續2個減號字元
--後的文字為註解,或「/*」與「*/」所包起來的文字為註解) - 因此,如果在組合SQL的命令字串時,未針對單引號字元作跳脫處理的話,將導致該字元變量在填入命令字串時,被惡意竄改原本的SQL語法的作用。
例子
某個網站的登入驗證的SQL查詢代碼為
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"
惡意填入
userName = "1' OR '1'='1";
與
passWord = "1' OR '1'='1";
時,將導致原本的SQL字串被填為
strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
也就是實際上執行的SQL命令會變成下面這樣的
strSQL = "SELECT * FROM users;"
因此達到無帳號密碼,亦可登入網站。所以SQL注入被俗稱為黑客的填空遊戲。
可能造成的傷害
- 資料表中的資料外洩,例如企業及個人機密資料,帳戶資料,密碼等。
- 資料結構被黑客探知,得以做進一步攻擊(例如SELECT * FROM sys.tables)。
- 資料庫伺服器被攻擊,系統管理員帳戶被竄改(例如ALTER LOGIN sa WITH PASSWORD='xxxxxx')。
- 取得系統較高權限後,有可能得以在網頁加入惡意連結、惡意代碼以及Phishing等。
- 經由資料庫伺服器提供的作業系統支援,讓黑客得以修改或控制作業系統(例如xp_cmdshell "net stop iisadmin"可停止伺服器的IIS服務)。
- 攻擊者利用資料庫提供的各種功能操縱檔案系統,寫入Webshell,最終導致攻擊者攻陷系統
- 破壞硬碟資料,癱瘓全系統(例如xp_cmdshell "FORMAT C:")。
- 取得系統最高權限後,可針對企業內部的任一管理系統做大規模破壞,甚至讓其企業倒閉。
- 網站首頁被竄改,導致聲譽受到損害。
避免的方法
歷史
參考文獻
外部連結
Wikiwand - on
Seamless Wikipedia browsing. On steroids.