动态网站SQL注入攻击技术及防范方法分析.docVIP

动态网站SQL注入攻击技术及防范方法分析 　　 摘要:本文分析了动态网站SQL注入攻击的关键技术,从六个方面综合提出了有效的防范方法,具有实际意义。 　　 关键词:动态网站;SQL注入攻击;防范 　　 中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 11-0000-01 　　 Dynamic Website SQL Injection AttacksPrevention Method 　　 Wang Xiaoqin 　　 (Baotou Medical College,Baotou014040,China) 　　 Abstract:This paper analyzes the dynamic website SQL injection attacks key technology,made effective prevention methods with practical significance. 　　 Keywords:Dynamic Website;SQL injection attacks;Prevention 　　 网站发展经历了三个阶段,从静态网站发展到动态网站,再到Web3.0,Web3.0是今后网站发展的一个方向。动态网站是当今网站的主流模式,以提供丰富的用户交互功能为主要特点,动态网站采用双层架构,前台提供给用户基本的网站信息与服务,网站的管理功能在后台,后台程序连接存储网站信息的数据库。动态网站的安全问题较之静态网站更加突出,原因是动态网站接受用户输入的交互信息,一些恶意用户会在交互信息里夹杂攻击代码,收集网站和数据库的机密信息,进而攻入网站,SQL注入攻击就属于这种类型。 　　 一、SQL注入攻击定义 　　 SQL注入攻击源于英文“SQL Injection Attack”,SQL是结构化查询语言的缩写, “SQL Injection Attack”的意思是在结构化查询语句中注入特殊语句进行网站攻击,是一种网络应用层攻击手段,最早于1999年在国外出现,我国在2003年开始大量出现。统计数据显示,互联网上Web服务器遭受的各类应用层攻击SQL注入约占75%[1]。典型特征:非法访问、检索、操纵网站存储信息的数据库。理论上说,任何一种支持结构化查询语言的数据库产品应用在网站后台都容易受到SQL注入攻击,黑客一旦通过注入获得网站管理员的用户名与密码,就会进入网站后台管理页面操纵服务器与数据库,篡改网页,删除数据,停掉或启用服务器上一些服务或应用程序,上传恶意软件与木马程序等,严重干扰网站系统的正常运行甚至导致网站系统崩溃。如何防范SQL注入攻击是目前安全技术研究的热点。 　　 二、SQL注入攻击过程 　　 1.检测是否存在注入点。2.注入猜测,测数据库中是否存在管理员帐号表。在注入点页面地址栏,如http://www.XXX.com/list.asp?id=418后面输入数据库查询语句:and 1=(select min(id)from admin)[2],如果表admin存在,则返回原正确页面,如果不存在,则返回错误页面。而入侵者可以按照人们的习惯猜测表名并不断地尝试,直到猜解成功。接着猜测表中的字段名,入侵者接着会用以下SQL语句猜测管理员帐号表中存储用户名和密码的字段名。http://www.XXX.com/list.asp?id=418 and 1=(select min(id)from admin where user=’redhat’)如果存在字段名user,则返回一个没有错误提示的页面;用同样的方法,入侵者可以变换可能的字段名进行猜解,一直得到存储用户名和密码的字段名。3.猜测管理员的用户名和密码:猜测用户名的第一个字符,在地址栏输入查询语句:http://www.XXX.com/list.asp?id=418 and 1=(select min(id)from admin where mid(user,1,1)=’a’)如果返回正常页面,则可以确定,在管理员帐户里表中,用户名的第一位字母为‘a’;如果返回错误页面,则可以变换不同的字母,直到成功。猜测用户名的第二个字符,在地址栏输入查询语句:http://www.XXX.com/list.asp?id=418 and 1=(select min(id)fromadmin where mid(user,2,1)=’d’)如果返回正常页面,则可以确定,在管理员帐户里表中,用户名的第二位字母为‘d’;如果返回错误页面,则可以变换不同的字母,直到成功。依次类推猜解出完整的用户名,用同样的方法,可以猜解出用户的密码,找出网站的后台管理页面后,入侵者就可以用猜测得到的用户名和密码进入后