资安学习路上-网站常见漏洞与 Injection的爱恨情仇4

SQL Injection

1. 承接上次所提，透过万用字串' or 1=1--，可不须验证，盗用其他人帐号，甚至可以进一步读取密码纪录档案等，那要怎麽防护呢?

2. 防护方法:
   (1)可以最小化使用者权限设定(限制使用者，只授予能取得的权限)
   (2)过滤使用者输入
   %% 切记不要使用黑名单，会永远禁止不完(如:double encoding)
   (3)double encoding(可以轻易躲开黑名单限制)
   将%252E%252E%252F%252E%252E%252F转换一次，再转换一次变成特殊字串../../
   
   

3. 发生位置
   最常发生 SELECT 查询中的 WHERE 条件
   

Injection类型

可概分为「字串型」及「数字型」，分述如后:

字串型

WHERE 条件中有单/双引号(表示字串)进行查询

1. Demo:用'让第一个单引号闭合，再用or让'1'='1'(永远成立)，让WHERE 条件失效，显示SELECT * FROM user_data结果
   

2. 起手式
   (1)观察输入点， GET、POST、Cookie 等参数
   (2)会透过一些特殊符号来确认後端的逻辑

  空
   '
   "
   `
   ')
   ")
   `)
   '))
   "))
   `))	

(3)当看到 500 error 有机会有弱点

数字型：

WHERE 条件中无单引号(表示数字或布林)进行查询

1. Demo:利用or，让login_count为''或者1=1(永远成立)均可成立，在运用注解符号 --，将userid注解掉，让WHERE 条件失效，显示SELECT * FROM user_data结果
2. 起手式
   (1)观察输入点， GET、POST、Cookie 等参数
   (2)会透过一些「数学运算」来确认後端的逻辑

* true
* 1
* 1>0
* 2-1
* 0+1
* 1*1
* 1%2
* 1 & 1
* 1&1
* 1 && 2
* 1&&2

(3)当看到

• id=2 跟 id=1+1 的显示结果一样
• 500 error
• 有机会有弱点