信息安全之SQL注入.docVIP

课程论文 题目：信息安全——浅谈SQL注入攻击与防范 姓 名： 学 号： 学 院： 管理学院 专 业：信息管理与信息系统 指导教师： 联系教师： 2012 年 5 月 6 口 信息安全 浅谈SQL注入攻击与防范 本文对目前最流行的网站入侵方式——Sql注入式攻击的注入方式和危害 进行了简单概述，还包括详尽的网站源代码分析，改进算法的源代码，并针对每种攻 击方法捉岀了检测和防范的措施，从而更好地维护网络安全。 关键词：Sql注入原理脚本攻击网站安全数据库安全代码安全性 Abstract This paper discusses the present the most popular web site invasion way--Sql injcction pattern of the attack of the basic hazards and simple overview, including a detailed analysis of the website source code, the improved algorithm of source code, and in the light of each attack method proposed detection and prevention measures, so as to better safeguard the network security. Keywords Sql injeetion principle script attack websitc safety database security code security 1引言 Sql注入(Sql Injection)攻击是目前网上最流行最热门的黑客脚本攻击方法 Z-,那什么是Sql注入式攻击呢？随着B/S模式应用开发的发展，使用这种模式编 写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平 及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的 合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根 据程序返回的结果，获得某些他想得知的数据。它是指黑客利用一?些Web应用程序 (论坛，留言本，文章发布系统)中某些疏于防范的用户可以提交或修改的数据的页 而，精心构造Sql语句,把特殊的SQL指令语句插入到系统实际SQL语句屮并执行它, 以获取用户密码等敏感信息，以及获取主机控制权限的攻击方法⑴。 2常见的SQL注入式攻击过程 2.1.绕过网站的身份认证 某个基于ASP. NET的Web应用冇一个登录页面，登录页面中输入的内容将直接用 來构造动态的SQL命令，或者直接用作存储过程的参数。卜?面是基于ASP. NET的Web 应用构造查询的一个例子:一个登陆界而，需耍输入用户名和密码，然后Post到另 一个页面，进行身份认证，此时进行身份认证的代码如下： username二 Request . form( username) password二 Request. form( password7 ) sql 二，zsclcc t * from admin where username 二 user name ，and password二 password r s. open sql, conn, 0, 3 if not rs. eof then session( 〃 login) = true Rcsp on sc. rcdircc t ( next. aspz/) end if 从上而的代码屮可以看出，程序在得到用户的数据Z后，没冇进行任何的过滤和 处理，直接用来构成SQL语句，其危险性是最高的，攻击者写规则就可以跳过身份 认证，方法如下： 攻击者只需在用户名和密码的输入框中都输入or 1二1〃的内容，那么攻击者 就可以不经过不任何认证而直接进入next ? asp页面，并拥有和止常登陆用户一样 的全部特权?原因是什么呢？我们比较一下正常用户登陆和攻击者登陆时的两句SQL 语句： 仃)正常用户(用户名为jzj,密码为1111): Sql = select * from adm in where user name 二j刁 j‘ and password 二 HIT (2)攻击者(用户名和密码都为〃or T二T〃): Sql = select * from admin where username= or i 二1 and password二or T二 i 可以看到由and连接的两个条件都被一个永远成立的T二T所代替，执行的结果 为真，因此服务器也会认为条件成立，于是把login标志设为true,让攻