技術(shù)分享 | “SQL注入攻擊”的分析和取證

SQL注入攻擊是一種常見(jiàn)的網(wǎng)絡(luò)攻擊方式，它曾多次入選“OWASP TOP 10”，被視為最為嚴(yán)重的安全風(fēng)險(xiǎn)之一。攻擊者利用Web應(yīng)用程序在處理用戶輸入時(shí)未能充分過(guò)濾或處理特殊字符，在應(yīng)用程序的數(shù)據(jù)庫(kù)查詢中插入或“注入”惡意的SQL代碼。

● 表單提交，這是最常見(jiàn)的一種情況，主要出現(xiàn)在POST請(qǐng)求中，也會(huì)出現(xiàn)在GET請(qǐng)求中；

● URL參數(shù)提交，主要出現(xiàn)在GET請(qǐng)求的參數(shù)中；

● Cookie參數(shù)提交；

● HTTP請(qǐng)求頭部的一些可修改的值，比如Referer、User_Agent等；

● 一些邊緣的輸入點(diǎn)，比如.mp3文件的一些文件信息等。

通常SQL注入時(shí)的大致流程如下：

① 信息收集；

② 探測(cè)注入點(diǎn)（判斷是否存在SQL注入漏洞）；

③ 確定注入類型；

④ 獲取數(shù)據(jù)庫(kù)結(jié)構(gòu)信息；

⑤ 得到管理員權(quán)限；

⑥ 利用與清理痕跡。

高校學(xué)生信息泄露：某高校的網(wǎng)課系統(tǒng)在實(shí)現(xiàn)查詢學(xué)生課程完成情況的功能時(shí)，由于代碼未采用參數(shù)化查詢，導(dǎo)致出現(xiàn)SQL注入漏洞。攻擊者通過(guò)構(gòu)造特殊的請(qǐng)求，不僅能夠查詢到所有學(xué)生的課程信息，甚至可以獲取數(shù)據(jù)庫(kù)的版本號(hào)、數(shù)據(jù)庫(kù)名，以及數(shù)據(jù)庫(kù)中所有表的信息。

醫(yī)療機(jī)構(gòu)信息泄漏：某綜合醫(yī)療服務(wù)的醫(yī)療機(jī)構(gòu)的在線預(yù)約系統(tǒng)由于系統(tǒng)未能正確過(guò)濾或轉(zhuǎn)義輸入數(shù)據(jù)，攻擊者利用SQL注入漏洞提取了數(shù)據(jù)庫(kù)中的敏感信息，包括：姓名、聯(lián)系方式、地址、身份證號(hào)、診斷記錄、治療過(guò)程、藥物處方等信息。

在SQL注入取證時(shí)，需要注意從日志排查和代碼層面審查。

1． 日志排查

①識(shí)別可疑請(qǐng)求，查找包含SQL關(guān)鍵字(SELECT，UNION，INSERT等)的異常請(qǐng)求，尋找特殊字符(%27，%22特殊字符含義等)的使用，檢查長(zhǎng)度異常的參數(shù)值；②關(guān)注短時(shí)間內(nèi)大量相似請(qǐng)求檢查請(qǐng)求的IP地址和地理位置分布；③關(guān)注異常的HTTP響應(yīng)狀態(tài)碼、分析錯(cuò)誤消息中可能泄露的信息；④關(guān)聯(lián)與應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器日志對(duì)比，檢查是否有其他異?；顒?dòng)；⑤追蹤攻擊者，嘗試從日志中提取攻擊者的IP地址、訪問(wèn)時(shí)間、訪問(wèn)路徑等信息。

2． 代碼審查

在SQL注入取證中代碼審查也是非常重要的，通過(guò)審查應(yīng)用程序的代碼，特別是處理用戶輸入和數(shù)據(jù)庫(kù)查詢的部分，查找代碼中可能存在的SQL注入漏洞，比如直接將用戶輸入拼接到SQL語(yǔ)句的情況、是否存在動(dòng)態(tài)構(gòu)建的SQL語(yǔ)句，是否正確使用框架，如果框架使用不當(dāng)也會(huì)造成SQL注入。

以下是一個(gè)簡(jiǎn)單的Java例子，用于說(shuō)明如何通過(guò)回顧應(yīng)用程序的代碼來(lái)查找可能存在的SQL注入漏洞。假設(shè)有一個(gè)應(yīng)用程序，它允許用戶通過(guò)輸入用戶名來(lái)查詢用戶信息。以下是一個(gè)存在SQL注入漏洞的代碼示例：

import java.sql.*;public class VulnerableCodeExample {public static void main(String[] args) {// 假設(shè)這是從用戶那里獲取的不安全輸入String username = "admin' OR '1'='1";// 拼接SQL查詢語(yǔ)句String query = "SELECT * FROM users WHERE username = '" + username + "'";
try (Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "user", "password"); Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery(query)) {
// 處理查詢結(jié)果 while (rs.next()) {System.out.println("User found: " + rs.getString("username"));}}catch (SQLException e) { e.printStackTrace(); }}}

在這個(gè)例子中，username變量是從用戶那里獲取的輸入，并且直接拼接到了SQL查詢語(yǔ)句中。如果用戶輸入的是惡意的，比如'admin' OR '1'='1'，那么拼接后的SQL查詢將變成：

SELECT * FROM users WHERE username = 'admin' OR '1'='1'

此條語(yǔ)句將變成査出所有用戶信息，需要避免sql注入即需要對(duì)用戶傳入數(shù)據(jù)進(jìn)行一次預(yù)編譯將用戶注入數(shù)據(jù)作為參數(shù)處理，而不是直接拼接。

將疑似存在sql注入攻擊的日志導(dǎo)入弘連網(wǎng)鉅數(shù)據(jù)分析軟件的網(wǎng)站日志文件分析模塊。

網(wǎng)鉅會(huì)分類攻擊類型并以扇形圖的形式展示。

可識(shí)別攻擊行為并進(jìn)行統(tǒng)計(jì)。

對(duì)識(shí)別潛在SQL注入攻擊，重點(diǎn)突出攻擊類型、IP、URL及攻擊次數(shù)。

通過(guò)網(wǎng)鉅日志分析對(duì)原始日志進(jìn)行分析提取，以識(shí)別日志中潛在的攻擊方式，進(jìn)而進(jìn)行深入的調(diào)查和溯源。

END

供稿：大白
編輯排版：Serene
審核：Spartan117