码迷,mamicode.com
首页 > 数据库 > 详细

sql盲注

时间:2018-02-28 01:07:12      阅读:171      评论:0      收藏:0      [点我收藏+]

标签:范围   功能   开源   readonly   服务   .net   框架   程序   art   

  在使用sql语句作为数据库操作方式的系统中,因为程序员处理传入参数不善而导致sql语句功能改变,从而利用这些改变对数据库甚至系统造成信息泄漏、系统破坏的问题成为sql注入。

  sql盲注是sql注入的一种,它通过传入特殊参数,配合系统接口的正常、异常状态返回,达到对系统以及数据库信息进行猜测的目的。

  举个栗子:

    (1)探测到某个接口,内容如下:

      http://www.abc.com?a=1&b=2

      返回值为

      {"state":"1","msg":"Success"}

    (2)后台的在执行功能的时候有如下代码

      String sql = "select * from tb_test where a = ‘"+a+"‘ ";

      Statement createStatement = conn.createStatement();
      createStatement.executeQuery(sql);

    (3)那么攻击者就可以通过传入这样的参数对系统进行试探:

      a=1%27;select%20*%20from%20user

      也就是a=1‘;select * from user

    (4)这时候后台sql会变成

      select * from tb_test where a = ‘1‘;select * from user

      如果系统中存在user表,返回值为{"state":"1","msg":"Success"}

      如果系统中不存在user表,返回值为{"state":"0","msg":"Error"}  

 

    攻击者就很容易通过这样的手段对系统进行猜测和破坏(假如没有限制执行的是查询,那么参数弄成delete或者update,就可以为所欲为了……)。

 

  解决方法:

    (1)使用PreparedStatement进行sql预编译,用参数化查询的方式处理sql;

    (2)限定sql操作范围,比如使用注解@ReadOnly修饰查询服务等;

    (3)对输入参数进行严格的格式校验,剔除所有可能的异常值;

    (4)使用一些能够处理此类问题的开源框架;

    (5)其他可行方法;

扩展学习

  盲注手法:

    https://www.cnblogs.com/fengh/p/6183928.html

    https://www.cnblogs.com/lcamry/p/5763129.html

  盲注常用方法:

    http://blog.sina.com.cn/s/blog_15e7bc4bb0102wclz.html

  

  逃过appscan盲注的最简单方法:

    http://blog.csdn.net/arthurzil/article/details/6863213

  appscan误报盲注解决方案:

    http://blog.csdn.net/huqingpeng321/article/details/53521616

sql盲注

标签:范围   功能   开源   readonly   服务   .net   框架   程序   art   

原文地址:https://www.cnblogs.com/chendeming/p/8474525.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!