sql注入攻击及其防范检测技术研究

《sql注入攻击及其防范检测技术研究》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、SQL注入攻击及其防范检测技术研究～教育资源库　　1　SQL注入攻击概述　　1.1　SQL注入技术定义　　SQL注入（SQLInjection）技术在国外最早出现在1999年，我国在2002年后开始大量出现，目前没有对SQL注入技术的标准定义，微软中国技术中心从2个方面进行了描述：　　（1）脚本注入式的攻击　　（2）恶意用户输入用来影响被执行的SQL脚本　　ChrisAnley将SQL注入定义为，攻击者通过在查询操作中插入一系列的SQL语句到应用程序中来操作数据。StephenKost[3]给出了SQL注入的一个特征，从一个数据库获得未经授权的访问和直接检索。利用SQL注入技术来实施网

2、络攻击常称为SQL注入攻击，其本质是利用anagement、PHP、Perl等技术与SQLServer、Oracle、DB2、Sybase等数据库相结合的ain等，利用这些工具软件可以轻易地对存在SQL注入的网站或者e）和密码（passe）和密码（passuserse='admin'andpassith　　如果分别给username和passin'or1=1--和aaa。那么，SQL脚本解释器中的上述语句就会变为：select*fromuserse=adminor1=1--andpassdash;如果存在authors表则删除。　　（2）'unionse

3、lectsum(username)fromusers从users表中查询出username的个数　　（3）';insertintousersvalues(666,'attacker','foobar',0xffff)在user表中插入值　　（4）'unionselectversion,1,1,1--查询数据库的版本　　（5）'execmaster..xp_cmdshell'dir'通过xp_cmdshell来执行dir命令　　2.2.　SQL注入攻击实现过程　　SQL注入攻击可以手工进行，也可以通过SQL注入攻击辅

4、助软件如HDSI、Domain、NBSI等，其实现过程可以归纳为以下几个阶段：　　（1）寻找SQL注入点；寻找SQL注入点的经典查找方法是在有参数传入的地方添加诸如and　1=1、and1=2以及等一些特殊字符，通过浏览器所返回的错误信息来判断是否存在SQL注入，如果返回错误，则表明程序未对输入的数据进行处理，绝大部分情况下都123下一页友情提醒：，特别！能进行注入。　　（2）获取和验证SQL注入点；找到SQL注入点以后，需要进行SQL注入点的判断，常常采用2.1中的语句来进行验证。　　（3）获取信息；获取信息是SQL注入中一个关键的部分，SQL注入中首先需要判断存在注入点的数据库是否

5、支持多句查询、子查询、数据库用户账号、数据库用户权限。如果用户权限为sa，且数据库中存在xp_cmdshell存储过程，则可以直接转（4）。　　（4）实施直接控制；以SQLServer2000为例，如果实施注入攻击的数据库是SQLServer2000，且数据库用户为sa，则可以直接添加管理员账号、开放3389远程终端服务、生成文件等命令。　　（5）间接进行控制。间接控制主要是指通过SQL注入点不能执行DOS等命令，只能进行数据字段内容的猜测。在ain等SQL注入攻击软件工具进行SQL注入攻击后，都会在数据库中生成一些临时表。通过查看数据库中最近新建的表的结构和内容，可以判断是否曾经发生

6、过SQL注入攻击。　　（2）IIS日志检查　　在d、d5函数进行加密，即密文＝md5(明文)，本文推荐在原来的加密的基础上增加一些非常规的方式，即在md5加密的基础上附带一些值，如密文＝md5(md5(明文)＋123456)；　　4　SQL注入攻击防范模型　　4.1SQL注入攻击防范模型　　在前人提出的SQL注入攻击的检测/防御/备案模型基础上[8][9],我们进行了检测过程的优化，提出了一种SQL自动防范模型如图1所示，本模型中所有检测都在服务器端进行，首先对IP地址进行检测，如果该IP地址在SQL注入攻击库中，则禁止该用户的访问，并再次将相关信息添加到SQL注入攻击库中；如果用户是

7、首次访问，则对提交字符进行检测，如果是非法字符，则检测是否达到规定的访问值，如果达到则禁止用户访问，同时发送邮件给系统管理员。本模型可以防止攻击者穷举攻击并可自由设置攻击次数的上限，一旦到达上限，系统将自动发送邮件给管理员，管理员收到邮件后可以进行相应的处理，如果条件允许，还可以增加短信发送，增强了SQL注入攻击的自动防范能力。　　本模型的最大特点是自动将攻击信息及时的传递给管理员，方便管理员及时做出响应。　　图1SQL注入攻击自动防范模型