仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 935|回复: 8
打印 上一主题 下一主题

[学习教程] MYSQL网页设计SQL注进打击的道理及其提防措施

[复制链接]
不帅 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 22:34:51 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
MySQL已经为支持所有最流行的Web2.0语言做好了准备,诸如Ruby、Ajax等,当然还有PHP。有的业界分析师说过,“每一个Web2.0公司实质上就是一个数据库公司。打击ASP编程门坎很低,老手很简单上路。在一段不长的工夫里,老手常常就已可以编出看来对照完善的静态网站,在功效上,内行能做到的,老手也可以做到。那末老手与内行就没区分了吗?这内里区分可就年夜了,只不外门外汉很难一眼就看出来而已。在界面的友爱性、运转功能和网站的平安性方面是老手与内行之间区分的三个会合点。而在平安性方面,老手最简单疏忽的成绩就是SQL注进毛病的成绩。用NBSI2.0对网上的一些ASP网站略加扫描,就可以发明很多ASP网站存在SQL注进毛病,教导网里高校外部机构的一些网站这类毛病就更广泛了,大概这是由于这些网站多数是一些先生做的原因吧,固然个个都很伶俐,但是究竟没有履历,并且处于进修中,不免毛病多多了。本文次要讲讲SQL注进的提防措施,而要分明这些提防措施的用途,须先具体解说使用SQL注进毛病进侵的历程。老手们看分明啦。  相称年夜一部分程序员在编写代码的时分,没有对用户输出数据的正当性举行判别,使使用程序存在平安隐患。如这是一个一般的网址http://localhost/lawjia/show.asp?ID=444,将这个网址提交到服务器后,服务器将举行相似Select*from表名where字段="&ID的查询(ID即客户端提交的参数,本例是即444),再将查询了局前往给客户端,假如这里客户端存心提交这么一个网址:
  http://localhost/lawjia/show.asp?ID=444anduser>0,这时候,服务器运转Select*from表名where字段=444anduser>0如许的查询,固然,这个语句是运转不下往的,一定堕落,毛病信息以下:
  ・毛病范例:
MicrosoftOLEDBProviderforODBCDrivers(0x80040E07)
[Microsoft][ODBCSQLServerDriver][SQLServer]将nvarchar值sonybb转换为数据范例为int的列时产生语法毛病。
/lawjia/show.asp,第47行
  可是心怀叵测的人从这个堕落信息中,能够取得以下信息:该站利用MS_SQL数据库,用ODBC毗连,毗连帐号名为:sonybb。所谓SQL注进(SQLInjection),就是使用程序员对用户输出数据的正当性检测不严或不检测的特性,存心从客户端提交特别的代码,从而搜集程序及服务器的信息,从而猎取想失掉的材料。一般心怀叵测者的方针是猎取网站办理员的帐号和暗码。好比当某团体晓得网站办理员帐号存在表login中,办理员帐号名为admin,他想晓得办理员暗码,这里他从客户端接着提交如许一个网址:
http://localhost/lawjia/show.asp?ID=444and(Selectpasswordfromloginwhereuser_name=admin)>0,前往的堕落信息以下:
  ・毛病范例:
MicrosoftOLEDBProviderforODBCDrivers(0x80040E07)
[Microsoft][ODBCSQLServerDriver][SQLServer]将varchar值!@#*&admin转换为数据范例为int的列时产生语法毛病。
/lawjia/show.asp,第47行
  你晓得吗?下面标红的部分就是办理员帐号admin的暗码!固然很庞大,让人看几遍也记不住的,但它就如许显现在你眼前了,这时候您就能够用这个帐号和暗码接受人家的网站了!这时候你大概还会说,假如他不是事前晓得办理员帐号存在表login中,并且晓得办理员帐号为admin,那他就不成能取得办理员暗码。你错了,只需人家乐意多花工夫实验,他将能够取得数据库毗连帐号权限内所能取得的一切信息!详细历程请参看网上的这篇文章:SQL注进毛病全打仗。
  固然这个历程是很啰嗦的并且要消费良多的工夫,假如只能以这类手动体例举行SQL注进进侵的话,那末很多存在SQL注进毛病的ASP网站会平安良多了,不是毛病不存在了,而是使用这个毛病进侵的本钱太高了。可是假如使用专门的黑客工具来进侵的话,那情形就年夜年夜分歧了。手动体例举行SQL注进进侵最少必要半天或一天以致良多天的工夫,而使用专门的工具来进侵就只必要几分钟工夫了(视网速快慢决意),再使用取得的办理帐号和暗码,上传一个从网高低载的ASP后门程序,就容易取得全部网站的办理权限了,乃至全部服务器的办理权限。最着名的一种SQL注进进侵工具是NBSI2.0,如今已出到2.0版本了,不外,人家正式称号不叫SQL注进进侵工具,而叫做网站平安毛病检测工具。有了这个所谓的检测工具,使得进侵存在SQL注进毛病的ASP网站成了小儿科的游戏,那些既不懂ASP又不懂SQL、年事小小的男性青年经常得以在一天以内进侵十多个ASP网站,他们以此取得心坎的极年夜满意。他们仿佛也十分考究职业品德,常常其实不损坏网站数据和体系,罕见的损坏体例多数仅仅是更换失落网站的主页,留下"好心的告诫",如:你的网站存在SQL注进毛病,请办理员做好提防措施!并声明"我没有损坏数据和体系",有的还要借机公布一下他的倡议:"国际网站人人不要进侵,有本领进侵小日本的!",最初,签上他的鼎鼎台甫是必不成少的程序。
  云云年夜的成绩多半情形下仅需动动鼠标就做到了。翻开最新版的NBSI2.0,如所示:输出地点到A区,注重网址必需是带传送参数的那种,点击右侧的检测按钮,即出来B区信息,显现以后用户为sonybb的权限为PUBLIC,以后库为lawjia。有点惋惜啊,假如是SA权限的话,就能够跨库注进了。不外,这个权限也充足猎取该网站办理员帐号和暗码了。点C区下的主动猜解按钮,即出来以后库lawjia中的各类表,哇,login表中必定是存办理员帐号和暗码的吧?选中它吧,接着点击D区下的主动猜解按钮,当即出来login内外的列称号,公然是寄存用户名和暗码的啊,太棒了!从速打上勾,迫不急待的点击E区下的主动猜解按钮。冲动民气的时候就要到来啦,只见唰唰地几下,帐号与暗码全体出来了。剩下的事就是分辨哪个帐号是办理员了。

(图中的示例网站在作者当地电脑上运转)
  不知那些没注重过SQL注进毛病的ASP程序员们看了上图的例子,要作何感受呢?是否是以为这个所谓的网站平安毛病检测工具SBSI2.0几乎就是MS_SQL的企业办理器呢?只不外人家不必要帐号和暗码就能够检察您数据库里的一切信息了。假如您的网站就如许被人不费吹灰之力进侵了,您是否是要吐几升血了呢?大概您已为体系平安费经心思了,装补钉、安防火墙、装杀毒软件、奇妙设置IIS及数据库用户权限,但您就是没有注重到SQL注进毛病,因而"千里之堤,溃于蚁穴"。防火墙与杀毒软件对SQL注进是没举措提防的,由于SQL注进进侵跟一般的WEB页面会见没甚么区分,以是常常是防不甚防。并且一个服务器上安排的网站常常是有良多个的,服务器办理员不成能挨个网站挨个页面的检察其是不是存在SQL注进毛病。那末应当怎样提防SQL注进进侵呢?作为服务器办理员或网站程序员应当分离怎样做呢?服务器办理员要做的事次要是设置IIS和数据库用户权限,而网站程序员次要是要在程序代码编写上提防SQL注进进侵。上面具体叙说:

  对了服务器办理员,既然你不成能挨个反省每一个网站是不是存在SQL注进毛病,那末就来个一个尽招。这个尽招能无效避免SQL注进进侵并且"费心又省力,效果然好!"SQL注进进侵是依据IIS给出的ASP毛病提醒信息来进侵的,假如你把IIS设置成不论出甚么样的ASP毛病,只给出一种毛病提醒信息,即http500毛病,那末人家就没举措进侵了。详细设置请参看。次要把500:100这个毛病的默许提醒页面C:WINDOWSHelpiisHelpcommon500-100.asp改成
C:WINDOWSHelpiisHelpcommon500.htm便可,这时候,不管ASP运转中出甚么错,服务器都只提醒HTTP 500毛病。


、IIS堕落信息设置
  可是如许设置一个欠好的中央是程序员编写的代码堕落时,服务器不给出具体的毛病提醒信息,会给程序员带来很年夜的方便。不外,服务器究竟不是测试代码的中央,应保持平安不乱第一,如许设置也是无可厚非的,现实上很多服务器的堕落信息都是云云设置。
  服务器办理员还应在IIS中为每一个网站设置好实行权限,可万万别给人家静态网站以"剧本和可实行"权限。一样平常情形下给个"纯剧本"权限就够了,关于那些经由过程网站背景办理中央上传的文件寄存的目次,就更小气一点吧,实行权限设为"无"好了,如许做是为了避免人家上传ASP木马,实行权限设为"无",人家上传ASP木马也运转不了。一样平常情形下,SQL注进毛病仅是触及一个网站平安的事,假如人家经由过程这个毛病上传了ASP木马并运转起来,那全部服务器都沦陷了。以是有远见的、有义务心的服务器办理员应当非常小气的设置IIS的实行权限。
  一样的小气立场应合用于数据库用户的权限设置上,固然这里数据库是指MS_SQL啦,ACCESS都没有效户权限设置这一步骤。假如PUBLIC权限充足利用的毫不给再高的权限,可万万别把SA级其余权限马马虎虎地给人家啊。谁人所谓的网站平安毛病检测工具NBSI2.0可有跨库举行SQL注进的功效啊,假如你把SA权限给了存在SQL注进毛病的库,那别的库就不保啦!城门掉火,殃及池鱼呀。而人家还能够经由过程挪用xp_cmdshell命令失掉体系的最高权限。详细步骤仍是请参看下面提到的那篇《SQL注进毛病全打仗》这篇文章吧。
  接上去要讲讲程序员的提防措施了。程序次要要做两件事,最主要的一件事,固然是对客户端提交的变量参数举行细心地检测啦。对客户端提交的变量举行反省以避免SQL注进,有各类办法,到http://community.csdn.net/上搜刮一下,你能取得很多无益信息。这里先容一种现成的办法,他人已写好了检测代码,拿来用一下,不必本人辛劳啦。那就是"枫叶SQL通用防注进V1.0ASP版",这是一段对用户经由过程网址提交过去的变量参数举行反省的代码,发明客户端提交的参数中有"exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、Asc"等用于SQL注进的经常使用字符时,当即中断实行ASP并给出告诫信息或转向堕落页面。人人能够到网上搜刮一下,下载这段代码,存为一个ASP页面,如checkSQL.asp,把这个页面include到每一个必要带参数查询SQL数据库ASP页面中,记着,只需加一行如许的<!--#includefile="checkSQL.asp"-->代码就好了。
  程序员要做的第二件事是给用户暗码加密啦。好比用MD5加密。MD5是没有反向算法,不克不及解密的。人家即便晓得经加密后存在数据库里的像乱码一样的暗码,他也没举措晓得原始暗码了。不外,人家能够用UPDATE办法用他的暗码取代你的暗码,但这个操纵仍是有点贫苦,人家大概会怕贫苦而保持。而谁人所谓的网站平安毛病检测工具NBSI2.0是没有供应UPDATE操纵功效的,以是用MD5加密后,人家仅用NBSI2.0而不辅以手动操纵的话,就不成能取得网站办理员帐号的暗码,这将盖住很多菜鸟级的打击者,最少那些既不懂ASP又不懂SQL、年事小小的男性青年是没有举措啦!
  文章写到这,已够长了,原本还想对那些所谓的网站平安毛病检测工具如NBSI之流的黑客工具举行一番感性的切磋的,看来仍是保持好了。为了加强网站平安,懂得打击手腕是必需的,可是,使用毛病开辟专门的黑客工具,使那些实在其实不具有需要的收集手艺和收集平安常识的人(就是文中提到的"既不懂ASP又不懂SQL、年事小小的男性青年")十拿九稳地侵进一家网站,这除为很多收集办理员打造贫苦外,是不是还具有增强收集平安认识进步收集平安程度的功能呢?
需要处理因此带来的更多的支持工作,这有可能会带来成本上的提高。在这种情况下,一些MySQL学习教程发行商可能倾向于选择别的开源数据库,例如遵循BSD授权的PostgreSQL。
第二个灵魂 该用户已被删除
沙发
发表于 2015-1-19 17:26:17 | 只看该作者
原理很简单,对要求长时间计算某一时间点的报表生成和防用户操作错误很有帮助。但是比起Oracle10g的闪回技术还是细粒度不够。可惜!
简单生活 该用户已被删除
板凳
发表于 2015-1-28 09:09:12 | 只看该作者
可能有的朋友会抱怨集成的orderby,其实如果使用ranking函数,Orderby是少不了的。如果担心Orderby会影响效率,可以为orderby的字段建立聚集索引,查询计划会忽略orderby操作(因为本来就是排序的嘛)。
admin 该用户已被删除
地板
发表于 2015-2-5 20:19:32 | 只看该作者
原来的计算字段其实和虚拟字段很像。只是管理方面好了而已,性能方面提高不多。但是SQL2005提供了计算字段的持久化,这就提高了查询的性能,但是会加重insert和update的负担。OLTP慎用。OLAP可以大规模使用。
金色的骷髅 该用户已被删除
5#
发表于 2015-2-13 12:43:03 | 只看该作者
如果是将来做数据库的开发设计,就应该详细学习T-SQL的各种细节,包括T-SQL的程序设计、存储过程、触发器以及具体使用某个开发语言来访问数据库。
爱飞 该用户已被删除
6#
发表于 2015-3-3 21:19:11 | 只看该作者
对递归类的树遍历很有帮助。个人感觉这个真是太棒了!阅读清晰,非常有时代感。
蒙在股里 该用户已被删除
7#
发表于 2015-3-11 13:53:16 | 只看该作者
多加的系统视图和实时系统信息这些东西对DBA挑优非常有帮助,但是感觉粒度还是不太细。
小女巫 该用户已被删除
8#
发表于 2015-3-18 17:16:08 | 只看该作者
我是新手,正在学习数据库和操作系统,深感理论的泛广,唯有一步一步来,但是又感觉时间不够,收集了很多资料却总是没能认真的看完,希望有一个讨论板块,大家共同解决,共同分享,共同努力
柔情似水 该用户已被删除
9#
发表于 2015-3-26 07:45:20 | 只看该作者
原来的计算字段其实和虚拟字段很像。只是管理方面好了而已,性能方面提高不多。但是SQL2005提供了计算字段的持久化,这就提高了查询的性能,但是会加重insert和update的负担。OLTP慎用。OLAP可以大规模使用。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-22 20:17

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表