網(wǎng)絡(luò)安全與攻防技術(shù)

第11章SQL注入攻防

在網(wǎng)站中用戶可以通過(guò)輸入賬號(hào)ID來(lái)獲取該賬號(hào)的詳細(xì)信息。為了實(shí)現(xiàn)這個(gè)需求，通常需要通過(guò)SQL語(yǔ)句來(lái)從數(shù)據(jù)庫(kù)中查詢數(shù)據(jù)。在開(kāi)發(fā)應(yīng)用程序的過(guò)程中，開(kāi)發(fā)人員可能會(huì)編寫(xiě)以下類(lèi)似的SQL查詢語(yǔ)句來(lái)實(shí)現(xiàn)這一功能：Select*fromuserswhereuser_id='用戶輸入的ID'

這里的users是數(shù)據(jù)庫(kù)中用來(lái)存儲(chǔ)賬號(hào)信息的數(shù)據(jù)表，當(dāng)用戶輸入“100”時(shí)，執(zhí)行的語(yǔ)句會(huì)相應(yīng)地轉(zhuǎn)換為：Select*fromuserswhereuser_id='100'網(wǎng)站將向用戶展示ID為“100”的賬戶的信息，若黑客輸入以下數(shù)據(jù)：'or'1'=1黑客并未輸入有效的ID號(hào)，應(yīng)用程序執(zhí)行的SQL語(yǔ)句變?yōu)椋篠elect*fromuserswhereuser_id=''or'1'='1'SQL查詢語(yǔ)句的含義被徹底改變，當(dāng)賬號(hào)ID為空或者條件“'1'='1'”成立時(shí)，將返回所有賬號(hào)的詳細(xì)信息。由于“'1'='1'”是永真條件，因此黑客無(wú)需輸入具體ID，便能獲取數(shù)據(jù)庫(kù)中全部賬戶的詳細(xì)資料。通過(guò)這個(gè)例子可以看出，一旦Web應(yīng)用中存在SQL注入漏洞，那么就有可能遭到攻擊導(dǎo)致后臺(tái)的數(shù)據(jù)完全暴露在黑客面前。章節(jié)導(dǎo)讀職業(yè)能力目標(biāo)與要求知識(shí)目標(biāo)：

熟練掌握SQL注入攻擊的基本原理。

深入理解SQL注入攻擊的過(guò)程。

掌握SQL注入攻擊防御方法。

具備SQL手工注入攻擊DVWA服務(wù)器的能力。

能夠運(yùn)用SQLmap工具獲取用戶登錄信息。

能夠通過(guò)SQLmap工具獲取一個(gè)交互的shell。

具備對(duì)Web應(yīng)用系統(tǒng)進(jìn)行SQL注入風(fēng)險(xiǎn)評(píng)估的能力。

注重程序邏輯的嚴(yán)密性，并養(yǎng)成嚴(yán)格檢查用戶輸入數(shù)據(jù)的習(xí)慣。

關(guān)注SQL注入攻防領(lǐng)域的最新動(dòng)態(tài)和研究成果，更新自己的知識(shí)體系。技能目標(biāo)：素質(zhì)目標(biāo)：11.1SQL注入攻擊

結(jié)構(gòu)化查詢語(yǔ)言（SQL）是由美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)（ANSI）所規(guī)范的一種標(biāo)準(zhǔn)計(jì)算機(jī)語(yǔ)言，它被廣泛應(yīng)用于訪問(wèn)和操作數(shù)據(jù)庫(kù)系統(tǒng)。用于檢索和更新數(shù)據(jù)庫(kù)中數(shù)據(jù)的SQL語(yǔ)句是其重要工具。SQL具有廣泛的兼容性，能夠與多種數(shù)據(jù)庫(kù)系統(tǒng)協(xié)同工作，包括MySQL、DB2、Informix、SQLServer、Oracle和Sybase等。這種靈活性使得SQL成為數(shù)據(jù)庫(kù)管理和操作的核心工具。SQL注入攻擊是由SQL的廣泛使用和靈活性引發(fā)的一個(gè)嚴(yán)重安全風(fēng)險(xiǎn)。這種攻擊方式允許攻擊者在Web表單提交過(guò)程中，或者在輸入域名進(jìn)行頁(yè)面請(qǐng)求時(shí)，通過(guò)在查詢字符串中插入惡意SQL命令，以此欺騙服務(wù)器執(zhí)行惡意SQL命令。具體來(lái)說(shuō)，SQL注入攻擊是通過(guò)利用應(yīng)用程序的漏洞，將惡意的SQL命令注入后臺(tái)數(shù)據(jù)庫(kù)引擎中執(zhí)行。攻擊者可以通過(guò)在Web表單中輸入惡意的SQL語(yǔ)句繞過(guò)設(shè)計(jì)者的意圖，獲得對(duì)存在SQL漏洞的網(wǎng)站數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限。SQL注入攻擊的主要危害包括讀取、修改或刪除數(shù)據(jù)庫(kù)中的數(shù)據(jù)，獲取賬號(hào)和密碼等敏感信息，繞過(guò)認(rèn)證非法獲得管理員權(quán)限，甚至可能讓攻擊者獲得系統(tǒng)的控制權(quán)限。11.1.1SQL注入攻擊原理SQL作為一種標(biāo)準(zhǔn)化的查詢語(yǔ)言，被普遍應(yīng)用于數(shù)據(jù)庫(kù)的訪問(wèn)和操作。在現(xiàn)代Web應(yīng)用程序中，SQL數(shù)據(jù)庫(kù)是存儲(chǔ)和管理應(yīng)用數(shù)據(jù)的常用工具。實(shí)際上，大多數(shù)Web應(yīng)用在后臺(tái)都使用某種形式的SQL數(shù)據(jù)庫(kù)。盡管SQL語(yǔ)法設(shè)計(jì)使得數(shù)據(jù)庫(kù)指令能夠與用戶數(shù)據(jù)相結(jié)合，但若開(kāi)發(fā)過(guò)程中對(duì)用戶輸入的數(shù)據(jù)處理不夠細(xì)致，就可能引發(fā)安全風(fēng)險(xiǎn)。當(dāng)用戶輸入的數(shù)據(jù)被錯(cuò)誤地解釋為數(shù)據(jù)庫(kù)命令時(shí)，遠(yuǎn)程用戶可能在數(shù)據(jù)庫(kù)中執(zhí)行未授權(quán)的指令。SQL注入攻擊通常在以下情況中發(fā)生，當(dāng)應(yīng)用程序使用用戶輸入數(shù)據(jù)構(gòu)造動(dòng)態(tài)SQL查詢語(yǔ)句，以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)。另外即使代碼采用了存儲(chǔ)過(guò)程，但如果這些存儲(chǔ)過(guò)程接受未經(jīng)篩選的用戶輸入作為參數(shù)，同樣容易受到SQL注入的攻擊。這種攻擊可能讓攻擊者通過(guò)使用應(yīng)用程序的登錄憑證，在數(shù)據(jù)庫(kù)中執(zhí)行惡意命令。如果應(yīng)用程序連接數(shù)據(jù)庫(kù)時(shí)使用的賬戶權(quán)限過(guò)高，這個(gè)問(wèn)題將更加嚴(yán)重。11.1.1

SQL注入攻擊原理

在瀏覽器的地址欄中鍵入“/abc.php”時(shí)，這僅代表對(duì)頁(yè)面的訪問(wèn)請(qǐng)求，并不涉及向數(shù)據(jù)庫(kù)發(fā)送動(dòng)態(tài)指令，因此這種情況下不會(huì)引發(fā)SQL注入風(fēng)險(xiǎn)。然而當(dāng)?shù)刂窓谥墟I入“/abc.php?testid=23”時(shí)，我們通過(guò)URL傳遞了變量testid，并將其值設(shè)為23，這表示對(duì)數(shù)據(jù)庫(kù)執(zhí)行動(dòng)態(tài)查詢。在這種情況下攻擊者可以在URL中嵌入惡意的SQL語(yǔ)句。SQL注入攻擊通常經(jīng)由常規(guī)的Web服務(wù)端口進(jìn)行，表面上與正常的Web頁(yè)面請(qǐng)求沒(méi)有區(qū)別，因此傳統(tǒng)的防火墻系統(tǒng)在監(jiān)測(cè)和報(bào)警方面存在困難。除非管理員有定期查看網(wǎng)站日志的習(xí)慣，否則可能很難迅速察覺(jué)到這種入侵行為。SQL注入攻擊具有高度的靈活性，要求攻擊者巧妙地構(gòu)建SQL語(yǔ)句以適應(yīng)不同的意外情況，進(jìn)而成功獲取目標(biāo)數(shù)據(jù)。11.1.2MySQL內(nèi)置數(shù)據(jù)庫(kù)1．SCHEMATA表該表存儲(chǔ)了當(dāng)前MySQL實(shí)例中所有數(shù)據(jù)庫(kù)的詳細(xì)信息。在眾多字段中，需要特別關(guān)注的是SCHEMA_NAME字段，用于標(biāo)識(shí)每個(gè)數(shù)據(jù)庫(kù)的庫(kù)名。2．TABLES表該表存儲(chǔ)了數(shù)據(jù)庫(kù)中各表的詳細(xì)信息，描述了某個(gè)表屬于哪個(gè)schema、表類(lèi)型、表引擎和創(chuàng)建時(shí)間等信息。在眾多字段中，需要特別關(guān)注的是TABLE_SCHEMA和TABLE_NAME兩個(gè)字段，它們分別代表某個(gè)表屬于哪個(gè)數(shù)據(jù)庫(kù)和表的名稱。3．COLUMNS表該表存儲(chǔ)了表中的各列的詳細(xì)信息，描述了某張表的所有列以及每個(gè)列的信息。在眾多字段中，需要特別關(guān)注的是TABLE_SCHEMA、TABLE_NAME和COLUMN_NAME三個(gè)字段，它們分別代表某個(gè)列屬于哪個(gè)數(shù)據(jù)庫(kù)、某個(gè)列屬于哪個(gè)數(shù)據(jù)表和表的名稱。MySQL會(huì)創(chuàng)建一個(gè)名為“information_schema”的默認(rèn)數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)保存著MySQL維護(hù)的所有其他數(shù)據(jù)庫(kù)的信息。在這個(gè)數(shù)據(jù)庫(kù)中有3個(gè)數(shù)據(jù)表與SQL注入密切相關(guān)，它們分別是：SCHEMATA表、TABLES表和COLUMNS表。這些表存儲(chǔ)了數(shù)據(jù)庫(kù)結(jié)構(gòu)的詳細(xì)信息，包括數(shù)據(jù)庫(kù)名、表名以及列名等。通過(guò)查詢這些表的信息，攻擊者可以掌握數(shù)據(jù)庫(kù)中各表和列的詳情，據(jù)此進(jìn)行更深入的攻擊嘗試。因此數(shù)據(jù)庫(kù)管理員必須確保這些表的安全性，以預(yù)防未授權(quán)的訪問(wèn)行為和潛在的SQL注入風(fēng)險(xiǎn)。11.1.1

SQL注入攻擊原理11.2

SQL注入攻擊的過(guò)程攻擊者首先需要找到Web應(yīng)用程序中的SQL注入點(diǎn)，這通常是通過(guò)提交包含特殊字符的輸入并觀察響應(yīng)來(lái)實(shí)現(xiàn)。1．探測(cè)SQL注入點(diǎn)攻擊者嘗試猜測(cè)存儲(chǔ)用戶名和密碼的字段名稱，以及這些字段中的具體內(nèi)容，以便能夠構(gòu)造有效的SQL語(yǔ)句來(lái)繞過(guò)認(rèn)證。3．猜解用戶名和密碼確定目標(biāo)系統(tǒng)數(shù)據(jù)庫(kù)的類(lèi)型，例如MySQL、Oracle或SQLServer等，因?yàn)椴煌臄?shù)據(jù)庫(kù)系統(tǒng)可能有不同的SQL語(yǔ)法和特性。2．判斷后臺(tái)數(shù)據(jù)庫(kù)類(lèi)型SQL注入攻擊的執(zhí)行過(guò)程通常包括以下5個(gè)關(guān)鍵步驟。攻擊者嘗試猜測(cè)存儲(chǔ)用戶名和密碼的字段名稱，以及這些字段中的具體內(nèi)容，以便能夠構(gòu)造有效的SQL語(yǔ)句來(lái)繞過(guò)認(rèn)證。4．尋找后臺(tái)管理入口攻擊者可能會(huì)上傳惡意文件、篡改數(shù)據(jù)和執(zhí)行非法操作，甚至進(jìn)一步提權(quán)來(lái)控制整個(gè)服務(wù)器或網(wǎng)絡(luò)。5．實(shí)施入侵和破壞11.2.1探測(cè)SQL注入點(diǎn)探測(cè)SQL注入點(diǎn)是進(jìn)行SQL注入攻擊的首要步驟，通過(guò)深入分析應(yīng)用程序?qū)ふ铱赡艽嬖诘腟QL注入漏洞。這些漏洞通常隱藏在動(dòng)態(tài)網(wǎng)頁(yè)中，特別是那些需要用戶輸入數(shù)據(jù)并執(zhí)行數(shù)據(jù)庫(kù)操作的頁(yè)面。當(dāng)開(kāi)發(fā)人員在編碼過(guò)程中，如果未對(duì)用戶提交的數(shù)據(jù)進(jìn)行有效性校驗(yàn)，或者將用戶輸入直接嵌入到SQL語(yǔ)句中，那么這個(gè)網(wǎng)頁(yè)就可能存在SQL注入漏洞。這種情況下，攻擊者可以通過(guò)惡意輸入篡改原有的SQL語(yǔ)句結(jié)構(gòu)，以達(dá)到未經(jīng)授權(quán)訪問(wèn)或操控?cái)?shù)據(jù)庫(kù)的目的。通常情況下，SQL注入漏洞可能潛伏在諸如“/abc.php?id=Y”這樣的動(dòng)態(tài)網(wǎng)頁(yè)中，這些動(dòng)態(tài)網(wǎng)頁(yè)可能包含一個(gè)或多個(gè)參數(shù)，而這些參數(shù)可能是整型或字符串型。只要它們被用于構(gòu)建SQL查詢，無(wú)論參數(shù)屬于哪種類(lèi)型都可能會(huì)遭受SQL注入攻擊。11.2.1探測(cè)SQL注入點(diǎn)

以“/abc.php?id=Y”為例進(jìn)行分析，其中Y可能是整型參數(shù)，也有可能是字符串型參數(shù)。1．整型參數(shù)的判斷當(dāng)輸入的Y為整型參數(shù)時(shí)，abc.php頁(yè)面中SQL語(yǔ)句大致如下：select*from表名where字段=Y;以下是檢測(cè)SQL注入是否存在的步驟。（1）在URL鏈接中附加一個(gè)單引號(hào)，即/abc.php?id=Y'，此時(shí)abc.php頁(yè)面中的SQL語(yǔ)句變?yōu)椋簊elect*from表名where字段=Y'由于單引號(hào)閉合異常，導(dǎo)致abc.php頁(yè)面的測(cè)試結(jié)果為運(yùn)行異常。11.2.1探測(cè)SQL注入點(diǎn)

（2）在URL鏈接中附加字符串“and1=1”，即/abc.php?id=Yand1=1。此時(shí)abc.php頁(yè)面中的SQL語(yǔ)句變?yōu)椋簊elect*from表名where字段=Yand1=1abc.php頁(yè)面的測(cè)試結(jié)果為運(yùn)行正常，并且與/abc.php?id=Y運(yùn)行結(jié)果一致。（3）在URL鏈接中附加字符串“and1=2”，即/abc.php?id=Yand1=2。此時(shí)abc.php頁(yè)面中的SQL語(yǔ)句變?yōu)椋簊elect*from表名where字段=Yand1=2abc.php頁(yè)面的測(cè)試結(jié)果為運(yùn)行正常，但未返回任何數(shù)據(jù)。如果以上3種情況全部滿足，那么在abc.php頁(yè)面中存在一個(gè)整型SQL注入漏洞。11.2.1探測(cè)SQL注入點(diǎn)

2．字符串型參數(shù)的判斷當(dāng)輸入的Y為字符串參數(shù)時(shí)，通常abc.php頁(yè)面中SQL語(yǔ)句大致如下：select*from表名where字段='Y'以下是檢測(cè)SQL注入是否存在的步驟。（1）在URL鏈接中附加一個(gè)單引號(hào)，即/abc.php?id=Y'，此時(shí)abc.php中的SQL語(yǔ)句變?yōu)椋簊elect*from表名where字段='Y''由于單引號(hào)閉合異常，導(dǎo)致abc.php頁(yè)面的測(cè)試結(jié)果為運(yùn)行異常。11.2.1探測(cè)SQL注入點(diǎn)

（2）在URL鏈接中附加字符串“'and'1'='1”，即/abc.php?id=Y'and'1'='1，此時(shí)abc.php中的SQL語(yǔ)句變?yōu)椋簊elect*from表名where字段='Y'and'1'='1'abc.php頁(yè)面的測(cè)試結(jié)果為運(yùn)行正常，并且與/abc.php?id=Y運(yùn)行結(jié)果一致。（3）在URL鏈接中附加字符串“'and'1'='2”即/abc.php?id=Y'and'1'='2，此時(shí)abc.php頁(yè)面中的SQL語(yǔ)句變?yōu)椋簊elect*from表名where字段='Y'and'1'='2'abc.php頁(yè)面的測(cè)試結(jié)果為運(yùn)行正常，但未返回任何數(shù)據(jù)。如果以上3種情況全部滿足，那么在abc.php頁(yè)面中存在一個(gè)字符串型SQL注入漏洞。11.2.2識(shí)別數(shù)據(jù)庫(kù)類(lèi)型我們可以通過(guò)查詢數(shù)據(jù)庫(kù)的版本信息，來(lái)判斷其類(lèi)型。例如在MySQL環(huán)境中，我們同樣可以使用“

SELECT@@version”命令來(lái)獲取版本信息。3．查詢數(shù)據(jù)庫(kù)版本信息

某些數(shù)據(jù)庫(kù)函數(shù)是特定數(shù)據(jù)庫(kù)獨(dú)有的。例如version()

函數(shù)是MySQL特有的，如果在輸入“1andversion()>0”后，程序返回正常，這表明后臺(tái)數(shù)據(jù)庫(kù)可能是MySQL。2．借助特定函數(shù)

當(dāng)輸入數(shù)據(jù)中存在特殊字符，例如單引號(hào)，數(shù)據(jù)庫(kù)會(huì)返回錯(cuò)誤提示。不同的數(shù)據(jù)庫(kù)處理這類(lèi)輸入的方式不同，并且會(huì)提供各自獨(dú)特的錯(cuò)誤信息，我們可以通過(guò)這些信息來(lái)識(shí)別出數(shù)據(jù)庫(kù)的類(lèi)型。1．分析錯(cuò)誤信息不同數(shù)據(jù)庫(kù)的注入方法各有所異，因此在執(zhí)行注入操作前，我們首要的任務(wù)是識(shí)別出數(shù)據(jù)庫(kù)的類(lèi)型。識(shí)別數(shù)據(jù)庫(kù)類(lèi)型常用以下幾種方法。11.2.2識(shí)別數(shù)據(jù)庫(kù)類(lèi)型

在各種數(shù)據(jù)庫(kù)系統(tǒng)中，字符串處理函數(shù)的命名和使用方法可能會(huì)有所不同。例如LEN()和LENGTH()在不同的數(shù)據(jù)庫(kù)系統(tǒng)中，可能會(huì)有不同的實(shí)現(xiàn)方式。4．對(duì)比字符串處理函數(shù)

不同數(shù)據(jù)庫(kù)系統(tǒng)使用不同的符號(hào)來(lái)表示注釋。例如在MySQL中，注釋是通過(guò)/**/來(lái)表示的，而在Oracle和SQLServer中，注釋則用--來(lái)表示。5．對(duì)比注釋符號(hào)

在特定的數(shù)據(jù)庫(kù)環(huán)境中，可以通過(guò)查詢服務(wù)器屬性來(lái)識(shí)別數(shù)據(jù)庫(kù)類(lèi)型。例如在SQLServer中，可以執(zhí)行

SELECTSERVERPROPERTY('ProductVersion')

命令來(lái)獲取當(dāng)前數(shù)據(jù)庫(kù)的類(lèi)型。6．查詢服務(wù)器屬性

各種Web開(kāi)發(fā)技術(shù)往往需要配合相應(yīng)的數(shù)據(jù)庫(kù)，例如ASP通常與SQLServer或Access搭配使用，而PHP則經(jīng)常與MySQL或PostgreSQL搭配使用。7．關(guān)聯(lián)前端技術(shù)11.2.3猜解管理員用戶名和密碼

利用SQL注入漏洞，攻擊者可以嘗試獲取數(shù)據(jù)庫(kù)的表名和字段名。這種信息獲取通常借助于數(shù)據(jù)庫(kù)返回的錯(cuò)誤消息，或者使用數(shù)據(jù)庫(kù)特定的查詢來(lái)實(shí)現(xiàn)。例如對(duì)于MySQL數(shù)據(jù)庫(kù)，攻擊者可以采用UNIONSELECT命令來(lái)枚舉出數(shù)據(jù)庫(kù)中的表名。猜解表名和字段名

掌握數(shù)據(jù)表的字段數(shù)量，有助于攻擊者構(gòu)造更加高效的SQL注入語(yǔ)句。通常這一過(guò)程可以通過(guò)觸發(fā)數(shù)據(jù)庫(kù)異常并分析異常信息來(lái)實(shí)現(xiàn)。確定字段數(shù)12通常情況下，許多Web應(yīng)用程序都設(shè)有管理員賬戶，這些賬戶持有用于管理和維護(hù)程序的特權(quán)和功能，例如文件的上傳與下載、目錄瀏覽和修改配置等。這些管理員賬戶信息通常存儲(chǔ)在后臺(tái)數(shù)據(jù)庫(kù)中。若攻擊者通過(guò)SQL注入攻擊成功猜解出管理員賬戶的用戶名和密碼，他們便能夠以管理員身份登錄后臺(tái)管理界面，進(jìn)而控制整個(gè)Web應(yīng)用程序。進(jìn)行猜解管理員用戶名和密碼的攻擊過(guò)程如下。利用邏輯運(yùn)算進(jìn)行驗(yàn)證猜測(cè)字段內(nèi)容

攻擊者能夠通過(guò)逐字猜測(cè)或者利用自動(dòng)化手段來(lái)推斷字段的內(nèi)容。例如當(dāng)攻擊者得知用戶名字段的具體位置時(shí)，他們可以試圖確定用戶名的字符長(zhǎng)度，并隨后逐一猜出每個(gè)字母。利用邏輯運(yùn)算進(jìn)行驗(yàn)證：當(dāng)攻擊者嘗試推斷用戶名等信息時(shí)，他們可以運(yùn)用邏輯操作符（如AND和OR）來(lái)構(gòu)建一個(gè)SQL查詢，以檢驗(yàn)其推測(cè)的正確性。舉例來(lái)說(shuō)，如果該部分推測(cè)正確，那么這個(gè)特定的查詢結(jié)果應(yīng)當(dāng)為真。獲取數(shù)據(jù)當(dāng)攻擊者成功猜解出用戶名和密碼字段的信息時(shí)，他們能夠通過(guò)SQL查詢來(lái)獲取這些數(shù)據(jù)。例如攻擊者可能利用UNIONSELECT命令來(lái)獲取其他表格中的數(shù)據(jù)。53411.2.3猜解管理員用戶名和密碼11.2.4尋找后臺(tái)管理入口掃描Web目錄后臺(tái)管理界面有可能被搜索引擎所索引，攻擊者可以利用搜索引擎的查詢功能來(lái)試圖尋找后臺(tái)管理界面入口。查詢搜索引擎許多Web應(yīng)用程序使用常見(jiàn)的URL模式來(lái)命名后臺(tái)管理界面，例如/admin、/administrator、/manager、/login等，攻擊者可以嘗試這些常見(jiàn)的URL路徑來(lái)尋找后臺(tái)管理界面入口。測(cè)試典型的URL結(jié)構(gòu)運(yùn)用自動(dòng)化工具例如Wfuzz、Dirbuster和Nmap等，對(duì)目標(biāo)網(wǎng)站進(jìn)行目錄掃描，以發(fā)現(xiàn)隱藏的或未被直接鏈接的網(wǎng)頁(yè)，這些網(wǎng)頁(yè)有可能包含后臺(tái)管理入口。在滲透測(cè)試的過(guò)程中，確定Web后臺(tái)管理入口是至關(guān)重要的一環(huán)。攻擊者可能會(huì)采取多種策略來(lái)獲取Web應(yīng)用的后臺(tái)管理頁(yè)面的入口，以下是一些常見(jiàn)策略。12311.2.4尋找后臺(tái)管理入口搜尋社交媒體和公開(kāi)資料攻擊者可能會(huì)在社交媒體、論壇、博客文章或開(kāi)發(fā)者文檔中搜尋與后臺(tái)管理界面相關(guān)的信息和線索。查看報(bào)錯(cuò)消息和注釋W(xué)eb應(yīng)用程序的報(bào)錯(cuò)消息或源代碼中的注釋可能會(huì)泄露后臺(tái)管理界面入口。運(yùn)用社會(huì)工程學(xué)攻擊者可以通過(guò)社會(huì)工程學(xué)手段，例如冒充客戶支持人員來(lái)誘使員工泄露后臺(tái)管理界面入口。掃描內(nèi)部網(wǎng)絡(luò)對(duì)于在內(nèi)部網(wǎng)絡(luò)中的Web應(yīng)用程序，攻擊者可以首先入侵內(nèi)部網(wǎng)絡(luò)，然后通過(guò)內(nèi)部掃描工具來(lái)尋找后臺(tái)管理入口。456711.2.5實(shí)施入侵和破壞01上傳木馬或惡意軟件攻擊者可以利用后臺(tái)管理的功能，上傳包含惡意代碼的文件，一旦這些文件被服務(wù)器執(zhí)行可能會(huì)導(dǎo)致系統(tǒng)被進(jìn)一步感染或控制。03竊取或篡改信息攻擊者可以訪問(wèn)數(shù)據(jù)庫(kù)中的敏感信息，如用戶個(gè)人信息和商業(yè)機(jī)密等，并可能對(duì)其進(jìn)行篡改導(dǎo)致數(shù)據(jù)泄露或損害。02篡改網(wǎng)頁(yè)內(nèi)容攻擊者可以通過(guò)修改數(shù)據(jù)庫(kù)中存儲(chǔ)的網(wǎng)頁(yè)內(nèi)容，篡改網(wǎng)站的顯示信息，發(fā)布虛假信息或者進(jìn)行釣魚(yú)攻擊。04提升權(quán)限攻擊者可能會(huì)嘗試提升自己在系統(tǒng)中的權(quán)限，以便更深入地控制Web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器，甚至可能實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的訪問(wèn)。通過(guò)SQL注入攻擊成功登錄后臺(tái)管理平臺(tái)后，攻擊者可以執(zhí)行多種惡意活動(dòng)來(lái)破壞系統(tǒng)和數(shù)據(jù)。以下是一些常見(jiàn)的入侵和破壞行為。11.2.5實(shí)施入侵和破壞安裝后門(mén)程序攻擊者可以在服務(wù)器上安裝后門(mén)程序，這樣即使原有的漏洞被發(fā)現(xiàn)并修復(fù)，他們依然能隨時(shí)進(jìn)入系統(tǒng)。掛馬攻擊攻擊者可以通過(guò)修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)字段值，將惡意鏈接或腳本嵌入到正常頁(yè)面中，導(dǎo)致用戶在瀏覽時(shí)傳播惡意軟件。破壞數(shù)據(jù)庫(kù)攻擊者可以直接對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作，包括刪除表和修改數(shù)據(jù)，甚至清空整個(gè)數(shù)據(jù)庫(kù)，這可能引發(fā)數(shù)據(jù)的嚴(yán)重?fù)p失和服務(wù)的中斷。遠(yuǎn)程控制服務(wù)器利用數(shù)據(jù)庫(kù)服務(wù)器作為跳板，攻擊者能夠遠(yuǎn)程控制系統(tǒng)，安裝惡意軟件或者將服務(wù)器納入僵尸網(wǎng)絡(luò)。567811.3

SQL注入攻擊工具

2支持多種注入方式

3破解密碼

4執(zhí)行操作系統(tǒng)命令

5自動(dòng)化程度高

1支持多種數(shù)據(jù)庫(kù)

它支持MySQL、Oracle、PostgreSQL、MSSQL、Access、IBMDB2、SQLite、Firebird、Sybase、SAPMaxDB、HSQLDB和Informix等多種數(shù)據(jù)庫(kù)管理系統(tǒng)。

它支持布爾型盲注、時(shí)間型盲注、基于錯(cuò)誤信息的注入、聯(lián)合查詢注入和堆疊查詢注入等多種SQL注入技術(shù)。SQLmap能夠自動(dòng)識(shí)別密碼哈希格式，并能通過(guò)字典攻擊方式破解哈希密碼。

在某些情況下，它能夠執(zhí)行操作系統(tǒng)命令，這使得攻擊者能夠在服務(wù)器上執(zhí)行任意命令。

從檢測(cè)可注入的參數(shù)類(lèi)型到識(shí)別數(shù)據(jù)庫(kù)類(lèi)型，再到根據(jù)用戶選擇讀取數(shù)據(jù)，其自動(dòng)化程度非常高。當(dāng)前眾多工具能夠自動(dòng)執(zhí)行SQL注入攻擊，其中廣泛被使用的工具包括SQLmap、SQLIer和SQLBrute等。我們將主要介紹Kali系統(tǒng)中內(nèi)置的SQLmap工具。SQLmap是一款功能強(qiáng)大的開(kāi)源滲透測(cè)試工具，它能夠自動(dòng)檢測(cè)和利用SQL注入漏洞，從而獲取數(shù)據(jù)庫(kù)服務(wù)器的權(quán)限。以下是SQLmap的一些關(guān)鍵特點(diǎn)。11.4SQL注入攻擊的防御方法01驗(yàn)證用戶輸入確保用戶輸入的數(shù)據(jù)符合預(yù)期的格式和類(lèi)型?？梢酝ㄟ^(guò)限制輸入長(zhǎng)度，利用正則表達(dá)式來(lái)驗(yàn)證合法的字符模式，或者采用白名單機(jī)制，僅接收被驗(yàn)證為安全的數(shù)據(jù)。這些安全性檢查應(yīng)該在服務(wù)器執(zhí)行，因?yàn)榭蛻舳颂峤坏娜魏涡畔⒍际遣豢尚诺摹?3避免使用常見(jiàn)字符命名后臺(tái)