1.1.1 摘要
日前,國內最大的程序員社區CSDN網站的用戶數據庫被黑客公開發布,600萬用戶的登錄名及密碼被公開泄露,隨後又有多家網站的用戶密碼被流傳於網絡,連日來引發衆多網民對自己賬號、密碼等互聯網信息被盜取的普遍擔憂。
網絡安全成爲了現在互聯網的焦點,這也恰恰觸動了每一位用戶的神經,由於設計的漏洞導致了不可收拾的惡果,驗證了一句話“出來混的,遲早是要還的”,所以我想通過專題博文介紹一些常用的攻擊技術和防範策略。
SQL Injection也許很多人都知道或者使用過,如果沒有了解或完全沒有聽過也沒有關係,因爲接下來我們將介紹SQL Injection。
1.1.2 正文
SQL Injection:就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。
具體來說,它是利用現有應用程序,將(惡意)的SQL命令注入到後臺數據庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的數據庫,而不是按照設計者意圖去執行SQL語句。
首先讓我們瞭解什麼時候可能發生SQL Injection。
假設我們在瀏覽器中輸入URL www.sample.com,由於它只是對頁面的簡單請求無需對數據庫動進行動態請求,所以它不存在SQL Injection,當我們輸入www.sample.com?testid=23時,我們在URL中傳遞變量testid,並且提供值爲23,由於它是對數據庫進行動態查詢的請求(其中?testid=23表示數據庫查詢變量),所以我們可以該URL中嵌入惡意SQL語句。
現在我們知道SQL Injection適用場合,接下來我們將通過具體的例子來說明SQL Injection的應用,這裏我們以pubs數據庫作爲例子。
我們通過Web頁面查詢job表中的招聘信息,job表的設計如下:
圖1 jobs表
接着讓我們實現Web程序,它根據工作Id(job_id)來查詢相應的招聘信息,示意代碼如下:
<span style="color: gray;">/// <summary>
/// </span><span style="color: green;">Handles the Load event of the Page control.
</span><span style="color: gray;">/// </summary>
/// <param name="sender"></span><span style="color: green;">The source of the event.</span><span style="color: gray;"></param>
/// <param name="e"></span><span style="color: green;">The </span><span style="color: gray;"><see cref="System.EventArgs"/> </span><span style="color: green;">instance containing the event data.</span><span style="color: gray;"></param>
</span><span style="color: blue;">protected void </span>Page_Load(<span style="color: blue;">object </span>sender, <span style="color: rgb(43, 145, 175);">EventArgs </span>e)
{
<span style="color: blue;">if </span>(!IsPostBack)
{
<span style="color: green;">// Gets departmentId from http request.
</span><span style="color: blue;">string </span>queryString = Request.QueryString[<span style="color: rgb(163, 21, 21);">"departmentID"</span>];
<span style="color: blue;">if </span>(!<span style="color: blue;">string</span>.IsNullOrEmpty(queryString))
{
<span style="color: green;">// Gets data from database.
</span>gdvData.DataSource = GetData(queryString.Trim());
<span style="color: green;">// Binds data to gridview.
</span>gdvData.DataBind();
}
}
}
現在我們已經完成了Web程序,接下來讓我們查詢相應招聘信息吧。
圖2 job表查詢結果
如圖所示,我們要查詢數據庫中工作Id值爲1的工作信息,而且在頁面顯示了該工作的Id,Description,Min Lvl和Max Lvl等信息。
現在要求我們實現根據工作Id查詢相應工作信息的功能,想必大家很快可以給出解決方案,SQL示意代碼如下:
<span style="color: blue;">SELECT </span>job_id<span style="color: gray;">, </span>job_desc<span style="color: gray;">, </span>min_lvl<span style="color: gray;">, </span>max_lvl <span style="color: blue;">FROM </span>jobs <span style="color: blue;">WHERE </span><span style="color: gray;">(</span>job_id <span style="color: gray;">= </span>1<span style="color: gray;">)</span>
假設現在要求我們獲取Department表中的所有數據,而且必須保留WHERE語句,那我們只要確保WHERE恆真就OK了,SQL示意代碼如下:
<span style="color: blue;">SELECT job_id</span><span style="color: gray;">, job_desc, min_lvl, max_lvl </span><span style="color: blue;">FROM jobs WHERE </span><span style="color: gray;">(job_id = 1) OR 1 = 1 </span>
上面我們使得WHERE恆真,所以該查詢中WHERE已經不起作用了,其查詢結果等同於以下SQL語句。
<span style="color: blue;">SELECT job_id</span><span style="color: gray;">, job_desc, min_lvl, max_lvl </span><span style="color: blue;">FROM jobs </span>
SQL查詢代碼實現如下:
<span style="color: blue;">string </span>sql1 = <span style="color: blue;">string</span>.Format(
<span style="color: rgb(163, 21, 21);">"SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id='{0}'"</span>, jobId);
現在我們要通過頁面請求的方式,讓數據庫執行我們的SQL語句,我們要在URL中嵌入惡意表達式1=1(或2=2等等),如下URL所示:
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or'1'='1
等效SQL語句如下:
<span style="color: blue;">SELECT </span>job_id<span style="color: gray;">, </span>job_desc<span style="color: gray;">, </span>min_lvl<span style="color: gray;">, </span>max_lvl <span style="color: blue;">FROM </span>jobs <span style="color: blue;">WHERE </span>job_id <span style="color: gray;">= </span><span style="color: red;">'1' </span><span style="color: gray;">OR </span><span style="color: red;">'1' </span><span style="color: gray;">= </span>1<span style="color: red;">'</span>
圖3 job表查詢結果
現在我們把job表中的所有數據都查詢出來了,僅僅通過一個簡單的恆真表達式就可以進行了一次簡單的攻擊。
雖然我們把job表的數據都查詢出來了,但數據並沒有太大的價值,由於我們把該表臨時命名爲job表,所以接着我們要找出該表真正表名。
首先我們假設表名就是job,然後輸入以下URL:
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or 1=(select count(*) from job)--
等效SQL語句如下:
<span style="color: blue;">SELECT </span>job_id<span style="color: gray;">, </span>job_desc<span style="color: gray;">, </span>min_lvl<span style="color: gray;">, </span>max_lvl <span style="color: blue;">FROM </span>jobs <span style="color: blue;">WHERE </span>job_id<span style="color: gray;">=</span><span style="color: red;">'1'</span><span style="color: gray;">or </span>1<span style="color: gray;">=(</span><span style="color: blue;">select </span><span style="color: rgb(255, 0, 255);">count</span><span style="color: gray;">(*) </span><span style="color: blue;">from </span>job<span style="color: gray;">) </span><span style="color: green;">--'</span>
圖4 job表查詢結果
當我們輸入了以上URL後,結果服務器返回我們錯誤信息,這證明了我們的假設是錯誤的,那我們該感覺到挫敗嗎?不,其實這裏返回了很多信息,首先它證明了該表名不是job,而且它還告訴我們後臺數據庫是SQL Server,不是MySQL或Oracle,這也設計一個漏洞把錯誤信息直接返回給了用戶。
接下假定表名是jobs,然後輸入以下URL:
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or1=(select count(*) from jobs) --
等效SQL語句如下:
<span style="color: blue;">SELECT </span>job_id<span style="color: gray;">, </span>job_desc<span style="color: gray;">, </span>min_lvl<span style="color: gray;">, </span>max_lvl <span style="color: blue;">FROM </span>jobs <span style="color: blue;">WHERE </span>job_id<span style="color: gray;">=</span><span style="color: red;">'1'</span><span style="color: gray;">or </span>1<span style="color: gray;">=(</span><span style="color: blue;">select </span><span style="color: rgb(255, 0, 255);">count</span><span style="color: gray;">(*) </span><span style="color: blue;">from </span>jobs<span style="color: gray;">) </span><span style="color: green;">--'</span>
圖5 job表查詢結果
現在證明了該表名是jobs,這可以邁向成功的一大步,由於我們知道了表名就可以對該表進行增刪改操作了,而且我們還可以猜測出更多的表對它們作出修改,一旦修改成功那麼這將是一場災難。
現在大家已經對SQL Injection的攻擊有了初步的瞭解了,接下讓我們學習如何防止SQL Injection。
總的來說有以下幾點:
1.永遠不要信任用戶的輸入,要對用戶的輸入進行校驗,可以通過正則表達式,或限制長度,對單引號和雙"-"進行轉換等。
2.永遠不要使用動態拼裝SQL,可以使用參數化的SQL或者直接使用存儲過程進行數據查詢存取。
3.永遠不要使用管理員權限的數據庫連接,爲每個應用使用單獨的權限有限的數據庫連接。
4.不要把機密信息明文存放,請加密或者hash掉密碼和敏感的信息。
5.應用的異常信息應該給出儘可能少的提示,最好使用自定義的錯誤信息對原始錯誤信息進行包裝,把異常信息存放在獨立的表中。
通過正則表達校驗用戶輸入
首先我們可以通過正則表達式校驗用戶輸入數據中是包含:對單引號和雙"-"進行轉換等字符。
然後繼續校驗輸入數據中是否包含SQL語句的保留字,如:WHERE,EXEC,DROP等。
現在讓我們編寫正則表達式來校驗用戶的輸入吧,正則表達式定義如下:
<span style="color: blue;">private static readonly </span><span style="color: rgb(43, 145, 175);">Regex </span>RegSystemThreats =
<span style="color: blue;">new </span><span style="color: rgb(43, 145, 175);">Regex</span>(<span style="color: rgb(163, 21, 21);">@"\s?or\s*|\s?;\s?|\s?drop\s|\s?grant\s|^'|\s?--|\s?union\s|\s?delete\s|\s?truncate\s|" </span>+
<span style="color: rgb(163, 21, 21);">@"\s?sysobjects\s?|\s?xp_.*?|\s?syslogins\s?|\s?sysremote\s?|\s?sysusers\s?|\s?sysxlogins\s?|\s?sysdatabases\s?|\s?aspnet_.*?|\s?exec\s?"</span>,
<span style="color: rgb(43, 145, 175);">RegexOptions</span>.Compiled | <span style="color: rgb(43, 145, 175);">RegexOptions</span>.IgnoreCase);
上面我們定義了一個正則表達式對象RegSystemThreats,並且給它傳遞了校驗用戶輸入的正則表達式。
由於我們已經完成了對用戶輸入校驗的正則表達式了,接下來就是通過該正則表達式來校驗用戶輸入是否合法了,由於.NET已經幫我們實現了判斷字符串是否匹配正則表達式的方法——IsMatch(),所以我們這裏只需給傳遞要匹配的字符串就OK了。
示意代碼如下:
<span style="color: gray;">/// <summary>
/// </span><span style="color: green;">A helper method to attempt to discover [known] SqlInjection attacks.
</span><span style="color: gray;">/// </summary>
/// <param name="whereClause"></span><span style="color: green;">string of the whereClause to check</span><span style="color: gray;"></param>
/// <returns></span><span style="color: green;">true if found, false if not found </span><span style="color: gray;"></returns>
</span><span style="color: blue;">public static bool </span>DetectSqlInjection(<span style="color: blue;">string </span>whereClause)
{
<span style="color: blue;">return </span>RegSystemThreats.IsMatch(whereClause);
}
<span style="color: gray;">/// <summary>
/// </span><span style="color: green;">A helper method to attempt to discover [known] SqlInjection attacks.
</span><span style="color: gray;">/// </summary>
/// <param name="whereClause"></span><span style="color: green;">string of the whereClause to check</span><span style="color: gray;"></param>
/// <param name="orderBy"></span><span style="color: green;">string of the orderBy clause to check</span><span style="color: gray;"></param>
/// <returns></span><span style="color: green;">true if found, false if not found </span><span style="color: gray;"></returns>
</span><span style="color: blue;">public static bool </span>DetectSqlInjection(<span style="color: blue;">string </span>whereClause, <span style="color: blue;">string </span>orderBy)
{
<span style="color: blue;">return </span>RegSystemThreats.IsMatch(whereClause) || RegSystemThreats.IsMatch(orderBy);
}
現在我們完成了校驗用的正則表達式,接下來讓我們需要在頁面中添加校驗功能。
<span style="color: gray;">/// <summary>
/// </span><span style="color: green;">Handles the Load event of the Page control.
</span><span style="color: gray;">/// </summary>
/// <param name="sender"></span><span style="color: green;">The source of the event.</span><span style="color: gray;"></param>
/// <param name="e"></span><span style="color: green;">The </span><span style="color: gray;"><see cref="System.EventArgs"/> </span><span style="color: green;">instance containing the event data.</span><span style="color: gray;"></param>
</span><span style="color: blue;">protected void </span>Page_Load(<span style="color: blue;">object </span>sender, <span style="color: rgb(43, 145, 175);">EventArgs </span>e)
{
<span style="color: blue;">if </span>(!IsPostBack)
{
<span style="color: green;">// Gets departmentId from http request.
</span><span style="color: blue;">string </span>queryString = Request.QueryString[<span style="color: rgb(163, 21, 21);">"jobId"</span>];
<span style="color: blue;">if </span>(!<span style="color: blue;">string</span>.IsNullOrEmpty(queryString))
{
<span style="color: blue;">if </span>(!DetectSqlInjection(queryString) && !DetectSqlInjection(queryString, queryString))
{
<span style="color: green;">// Gets data from database.
</span>gdvData.DataSource = GetData(queryString.Trim());
<span style="color: green;">// Binds data to gridview.
</span>gdvData.DataBind();
}
<span style="color: blue;">else
</span>{
<span style="color: blue;">throw new </span><span style="color: rgb(43, 145, 175);">Exception</span>(<span style="color: rgb(163, 21, 21);">"Please enter correct field"</span>);
}
}
}
}
當我們再次執行以下URL時,被嵌入的惡意語句被校驗出來了,從而在一定程度上防止了SQL Injection。
http://localhost:3452/ExcelUsingXSLT/Default.aspx?jobid=1'or'1'='1
圖6 添加校驗查詢結果
但使用正則表達式只能防範一些常見或已知SQL Injection方式,而且每當發現有新的攻擊方式時,都要對正則表達式進行修改,這可是吃力不討好的工作。
通過參數化存儲過程進行數據查詢存取
首先我們定義一個存儲過程根據jobId來查找jobs表中的數據。
<span style="color: green;">-- =============================================
-- Author: JKhuang
-- Create date: 12/31/2011
-- Description: Get data from jobs table by specified jobId.
-- =============================================
</span><span style="color: blue;">ALTER PROCEDURE </span>[dbo]<span style="color: gray;">.</span>[GetJobs]
<span style="color: green;">-- ensure that the id type is int
</span>@jobId <span style="color: blue;">INT
AS
BEGIN
</span><span style="color: green;">-- SET NOCOUNT ON;
</span><span style="color: blue;">SELECT </span>job_id<span style="color: gray;">, </span>job_desc<span style="color: gray;">, </span>min_lvl<span style="color: gray;">, </span>max_lvl
<span style="color: blue;">FROM </span>dbo<span style="color: gray;">.</span>jobs
<span style="color: blue;">WHERE </span>job_id <span style="color: gray;">= </span>@jobId
<span style="color: blue;">GRANT EXECUTE ON </span>GetJobs <span style="color: blue;">TO </span>pubs
<span style="color: blue;">END</span>
接着修改我們的Web程序使用參數化的存儲過程進行數據查詢。
<span style="color: blue;">using </span>(var com = <span style="color: blue;">new </span><span style="color: rgb(43, 145, 175);">SqlCommand</span>(<span style="color: rgb(163, 21, 21);">"GetJobs"</span>, con))
{
<span style="color: green;">// Uses store procedure.
</span>com.CommandType = <span style="color: rgb(43, 145, 175);">CommandType</span>.StoredProcedure;
<span style="color: green;">// Pass jobId to store procedure.
</span>com.Parameters.Add(<span style="color: rgb(163, 21, 21);">"@jobId"</span>, <span style="color: rgb(43, 145, 175);">SqlDbType</span>.Int).Value = jobId;
com.Connection.Open();
gdvData.DataSource = com.ExecuteScalar();
gdvData.DataBind();
}
現在我們通過參數化存儲過程進行數據庫查詢,這裏我們把之前添加的正則表達式校驗註釋掉。
圖7 存儲過程查詢結果
大家看到當我們試圖在URL中嵌入惡意的SQL語句時,參數化存儲過程已經幫我們校驗出傳遞給數據庫的變量不是整形,而且使用存儲過程的好處是我們還可以很方便地控制用戶權限,我們可以給用戶分配只讀或可讀寫權限。
但我們想想真的有必要每個數據庫操作都定義成存儲過程嗎?而且那麼多的存儲過程也不利於日常的維護。
參數化SQL語句
還是回到之前動態拼接SQL基礎上,我們知道一旦有惡意SQL代碼傳遞過來,而且被拼接到SQL語句中就會被數據庫執行,那麼我們是否可以在拼接之前進行判斷呢?——命名SQL參數。
<span style="color: blue;">string </span>sql1 = <span style="color: blue;">string</span>.Format(<span style="color: rgb(163, 21, 21);">"SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id = @jobId"</span>);
<span style="color: blue;">using </span>(var con = <span style="color: blue;">new </span><span style="color: rgb(43, 145, 175);">SqlConnection</span>(<span style="color: rgb(43, 145, 175);">ConfigurationManager</span>.ConnectionStrings[<span style="color: rgb(163, 21, 21);">"SQLCONN1"</span>].ToString()))
<span style="color: blue;">using </span>(var com = <span style="color: blue;">new </span><span style="color: rgb(43, 145, 175);">SqlCommand</span>(sql1, con))
{
<span style="color: green;">// Pass jobId to sql statement.
</span>com.Parameters.Add(<span style="color: rgb(163, 21, 21);">"@jobId"</span>, <span style="color: rgb(43, 145, 175);">SqlDbType</span>.Int).Value = jobId;
com.Connection.Open();
gdvData.DataSource = com.ExecuteReader();
gdvData.DataBind();
}
圖8 參數化SQL查詢結果
這樣我們就可以避免每個數據庫操作(尤其一些簡單數據庫操作)都編寫存儲過程了,而且當用戶具有數據庫中jobs表的讀權限纔可以執行該SQL語句。
添加新架構
數據庫架構是一個獨立於數據庫用戶的非重複命名空間,您可以將架構視爲對象的容器(類似於.NET中的命名空間)。
首先我們右擊架構文件夾,然後新建架構。
圖9 添加HumanResource架構
上面我們完成了在pubs數據庫中添加HumanResource架構,接着把jobs表放到HumanResource架構中。
圖 10 修改jobs表所屬的架構
當我們再次執行以下SQL語句時,SQL Server提示jobs無效,這是究竟什麼原因呢?之前還運行的好好的。
<span style="color: blue;">SELECT </span>job_id<span style="color: gray;">, </span>job_desc<span style="color: gray;">, </span>min_lvl<span style="color: gray;">, </span>max_lvl <span style="color: blue;">FROM </span>jobs
圖 11 查詢輸出
當我們輸入完整的表名“架構名.對象名”(HumanResource.jobs)時,SQL語句執行成功。
<span style="color: blue;">SELECT </span>job_id<span style="color: gray;">, </span>job_desc<span style="color: gray;">, </span>min_lvl<span style="color: gray;">, </span>max_lvl <span style="color: blue;">FROM </span>HumanResource<span style="color: gray;">.</span>jobs
爲什麼之前我們執行SQL語句時不用輸入完整表名dbo.jobs也可以執行呢?
這是因爲默認的架構(default schema)是dbo,當只輸入表名時,Sql Server會自動加上當前登錄用戶的默認的架構(default schema)——dbo。
由於我們使用自定義架構,這也降低了數據庫表名被猜測出來的可能性。
LINQ to SQL
前面使用了存儲過程和參數化查詢,這兩種方法都是非常常用的,而針對於.NET Framework的ORM框架也有很多,如:NHibernate,Castle和Entity Framework,這裏我們使用比較簡單LINQ to SQL。
圖 12 添加jobs.dbml文件
var dc = <span style="color: blue;">new </span><span style="color: rgb(43, 145, 175);">pubsDataContext</span>();
<span style="color: blue;">int </span>result;
<span style="color: green;">// Validates jobId is int or not.
</span><span style="color: blue;">if </span>(<span style="color: blue;">int</span>.TryParse(jobId, <span style="color: blue;">out </span>result))
{
gdvData.DataSource = dc.jobs.Where(p => p.job_id == result);
gdvData.DataBind();
}
相比存儲過程和參數化查詢,LINQ to SQL我們只需添加jobs.dbml,然後使用LINQ對錶進行查詢就OK了。
1.1.3 總結
我們在本文中介紹了SQL Injection的基本原理,通過介紹什麼是SQL Injection,怎樣進行SQL Injection和如何防範SQL Injection。通過一些程序源碼對SQL的攻擊進行了細緻的分析,使我們對SQL Injection機理有了一個深入的認識,作爲一名Web應用開發人員,一定不要盲目相信用戶的輸入,而要對用戶輸入的數據進行嚴格的校驗處理,否則的話,SQL Injection將會不期而至。
最後,祝大家新年快樂,身體健康,Code with pleasure。
