基于ＡＳＰ源代码剖析ＳＱＬ注入漏洞.docVIP

基于ＡＳＰ源代码剖析ＳＱＬ注入漏洞 　　引言 　　 　　随着Internet技术的迅猛发展，为了能更充分地使用互联网这个世界上最大的交流平台，许多单位或个人争相建立了自己的网站。为了与广大用户更好地进行交流，大多数网站又采用了动态网站编程技术。在众多的网站开发技术中，由于Microsoft的ASP的简单易用，所以成为众多网站程序员的首选。但是，一些程序员在编程时不够注意安全方面，所以经常出现因一个变量未过滤，造成网站被“注入”，导致整台服务器沦陷的事实。 　　下面我基于ASP源代码对注入漏洞发生的原理做进一步的阐述。 　　 　　1 剖析SQL注入漏洞（SQL Injection） 　　 　　1.1什么是SQL注入 　　由于某些程序员在编程时，没有对用户输入数据的合法性进行判断，使攻击者可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入，又叫SQL注射。由于SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，目前普通的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。 　　SQL注入漏洞从提交数据的方式可以分为三类：Get、Post和Cookies，其中出现最普及的当属Get方式的注入。从变量类型又可以分为数字型注入和字符型注入。 　　 　　1.2 Get方式注入原理 　　下面是一段存在Get注入的代码： 　　 　　＜!--#include file=conn.asp--＞ 　　＜%id= request.querystring(id) 　　set rs=Server.CreateObject(ADODB.RecordSet) 　　sql=select * from class where classid=id 　　rs.open sql,conn,1,1 　　rs.close 　　set rs=nothing 　　%＞ 　　 　　通过代码，我们看到id参数从URL传进来后，没有经过任何过滤，就进行数据查询，从而产生了经典的SQL注入漏洞。比如攻击者可以提交如下数据： 　　 　　id=1 and exists(select * from admin) 　　 　　那么数据库查询语句(上面的sql 变量)就变成： 　　 　　sql=select * from class where classid=1 and exists(select * from admin) 　　 　　我们知道classid=1为真(假设数据库表中有此数据)，由于“and”表示“与”的关系，那么： 　　 　　classid=1 and exists(select * from admin) 的真伪只取决于exists(select * from admin) 　　 　　简单地说就取决于admin表是否存在。如果网页返回的正常，则admin表存在，反之则不存在。那么攻击者就达到了猜测管理员表名的目的。 　　 　　1.3Post方式注入原理 　　Post注入是通常针对采用Post提交的表单进行的注入，很多情况下都是字符型的变量，而且它没有Get方式注入那样容易察觉，下面是一段存在Post注入的表单： 　　 　　＜tr＞ 　　＜td width=102 height=25 align=right＞邮箱地址：＜/td＞ 　　＜td width=198 height=25＞＜input name=email type=text id=email＞ 　　＜input name=login type=hidden value=yes＞＜/td＞ 　　＜/tr＞ 　　＜tr＞ 　　＜td height=25 align=right＞访问密码：＜/td＞ 　　＜td height=25＞＜input name=password type=password id=password＞＜/td＞ 　　＜/tr＞ 　　这是一个普通用户的登录界面，提交进行数据库处理的代码如下： 　　 　　＜%if request.form(login)=yes then 　　set rs=server.createobject(adodb.recordset) 　　sql=select * from book where xx=request.form(email) and 　　 password=request.form(password) order by id desc 　　rs.open sql,conn,1,1 　　if not