信息系统应用安全.docxVIP

信息系统应用安全上机实验报告 实验题目：SQL注入实验 院系：信息安全 班级：0903班 学号：U200915352 学生姓名：曹晨业  实验目标： 掌握SQL 注入的原理 掌握注入漏洞的利用技巧； 理解注入漏洞的防范措施； 了解Oracle 注入相关知识。 实验要求: 学习SQL 注入漏洞的诊断技术及利用方法，要求： 1）能诊断出web 网页或者存储过程存在的注入漏洞； 2）分析漏洞的成因及提出相应的解决方案。 SQL 注入的原理： SQL注入原理：目前，几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数 语言一样，SQL 语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话， 用户数据就有可能被解释成命令，这就是潜在的SQL 注入漏洞，针对此类漏洞，一旦参数 精心构造，远程用户就不仅能向Web 应用输入数据，而且还可以在数据库甚至OS 上执行 任意命令。 存在SQL注入漏洞的根本原因：在用户输入作为SQL语句参数时，未进行充分的检查 验证，导致程序命令和用户数据（即用户输入）之间混淆，从而使得攻击者有机会将程序命 令当作用户输入的数据提交给Web 程序，造成破坏。 利用SQL 注入漏洞： 事实上，SQL 注入漏洞在前台web 程序或后台数据库提供的函数或存储过程中都有可 能存在。一旦存在用户输入验证不足的SQL 注入漏洞，那么攻击者只要传入精心构造的参 数，使原有SQL 语句逻辑上合法，并执行额外的恶意注入代码，就可以实现SQL 注入漏洞 的利用。下面就举例两种利用方式，依照具体的环境可能方法有所修改： （1） 绕过身份验证 如某web 程序有一个login 页面，这个用户名控制着用户是否有权访问，要求用户输入一个用户名和口令，连接数据库的语句为： “Select * from users where username=’username’ and password=’password’;” 攻击者输入用户名为’aa’’or 1=1’，口令为’1234’’or 1=1’，一旦web 程序对用户输入验证 不足，则该内容提交后，服务器执行攻击者构造的SQL 命令，就得到语句如下： “Select * from users where username=’aa’ or 1=1 and password=’1234’ or 1=1;” 从而身份验证得以通过，系统会错误的授权攻击者访问权限。 （2） 执行攻击代码 如oracle 存储过程SYS.LTADM.EXECSQL();存在注入漏洞。唯一的VARCHAR2 参数未充分验证的情况下，在SYS 模式下执行参数。于是攻击者在普通用户test 下创建恶意的PL/SQL 函数test.f1，并构造参数如下： “EXEC SYS.LTADM.EXECSQL( SELECT test.f1 from dual);” 将会直接引发执行“select test.f1 from dual”，这样恶意代码test.f1 将以SYS 用户的权限得到执行。 实验环境： 数据库版本：Oracle 10g ；操作系统：windows7 SP1 (32bit); Oracle server 安装指南： 略，没有太大问题。Win7用户在安装时，运行Setup.exe程序可能需在兼容性选项中选择以XP兼容模式运行这个程序。 同样，在使用SQLPLUS时，也需要在XP兼容模式下运行。 SQL 注入漏洞的诊断： 诊断准备阶段： 使用sql plus 接口连接oracle server。在命令行下，以system 用户身份登录sql plus。 创建新用户caochenye，并授予新用户Create session，create procedure 和alter session 权限。 ---“create user caochenye identified by ccy；”作用是创建新用户caochenye，密码为ccy。 ---“grant create session，create procedure，alter session to caochenye；”语句是为新用户caochenye 分配权限。这三个权限是本实验caochenye 用户必须获得的最低权限。其中Create session 权限使得caochenye可以连接oracle server，create procedure 权限用于创建PL/SQL 子程序，alter session权限用于后期追踪oracle server 的trace 文件。 另外，因为LTADM 程序包属SYS 模式下，且非普通用户可以执行，所以还需要获得 该包的执行权限。这需要在服务器端以SYS 模式登录后，授予execute on LTADM 的