（转载）ASP网站如何防止注入漏洞攻击

　　SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如 果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。但是，SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况。能不能根据具体情 况进行分析，构造巧妙的SQL语句，从而成功获取想要的数据。

　　据统计，网站用ASP+Access或SQLServer的占70%以 上，PHP+MySQ占L20%，其他的不足10%。在本文，以SQL-SERVER＋ASP例说明SQL注入的原理、方法与过程。（PHP注入的文章由 NB联盟的另一位朋友zwell撰写的有关文章）

　　SQL注入攻击的总体思路是：

　　1、发现SQL注入位置；

　　2、判断后台数据库类型；

　　3、确定XP_CMDSHELL可执行情况

　　4、发现WEB虚拟目录

　　5、上传ASP木马；

　　6、得到管理员权限；

　　防止ASP注入攻击的分步实施提要

　　第一步. 使用ASP.NET 请求校验.

　　第二步. 使用权用约束输入.

　　第三步. 对不安全的输入进行编码.

　　第四步. 对Sql语句使用命令参数方式.

　　第五步. 验证ASP.NET的错误没有被返回客户端.

　　额外的资源

　　一、SQL注入漏洞的判断

　 　一般来说，SQL注入一般存在于形如：HTTP://xxx.xxx.xxx/abc.asp...等带有参数的ASP动态网页中，有时一个动态网页中 可能只有一个参数，有时可能有N个参数，有时是整型参数，有时是字符串型参数，不能一概而论。总之只要是带有参数的动态网页且此网页访问了数据库，那么就 有可能存在SQL注入。如果ASP程序员没有安全意识，不进行必要的字符过滤，存在SQL注入的可能性就非常大。

　　为了全面了解动态网页回答的信息，首选请调整IE的配置。把IE菜单-工具-Internet选项－高级－显示友好HTTP错误信息前面的勾去掉。

　　为了把问题说明清楚，以下以HTTP://xxx.xxx.xxx/abc.asp...为例进行分析，YY可能是整型，也有可能是字符串。

　　1、整型参数的判断

　　当输入的参数YY为整型时，通常abc.asp中SQL语句原貌大致如下：

　　select * from 表名 where 字段=YY，所以可以用以下步骤测试SQL注入是否存在。

　　①HTTP://xxx.xxx.xxx/abc.asp...'(附加一个单引号)，此时abc.ASP中的SQL语句变成了

　　select * from 表名 where 字段=YY'，abc.asp运行异常；

　　②HTTP://xxx.xxx.xxx/abc.asp... and 1=1, abc.asp运行正常，而且与HTTP://xxx.xxx.xxx/abc.asp...运行结果相同；

　　③HTTP://xxx.xxx.xxx/abc.asp... and 1=2, abc.asp运行异常；如果以上三步全面满足，abc.asp中一定存在SQL注入漏洞。

　　2、字符串型参数的判断

　　当输入的参数YY为字符串时，通常abc.asp中SQL语句原貌大致如下：

　　select * from 表名 where 字段='YY'，所以可以用以下步骤测试SQL注入是否存在。

　　①HTTP://xxx.xxx.xxx/abc.asp...'(附加一个单引号)，此时abc.ASP中的SQL语句变成了

　　select * from 表名 where 字段=YY'，abc.asp运行异常；

　　②HTTP://xxx.xxx.xxx/abc.asp... ... 39;1'='1', abc.asp运行正常，而且与HTTP://xxx.xxx.xxx/abc.asp...运行结果相同；

　　③HTTP://xxx.xxx.xxx/abc.asp... ... 39;1'='2', abc.asp运行异常；如果以上三步全面满足，abc.asp中一定存在SQL注入漏洞。

　　3、特殊情况的处理

　　有时ASP程序员会在程序员过滤掉单引号等字符，以防止SQL注入。此时可以用以下几种方法试一试。

　　①大小定混合法：由于VBS并不区分大小写，而程序员在过滤时通常要么全部过滤大写字符串，要么全部过滤小写字符串，而大小写混合往往会被忽视。如用SelecT代替select,SELECT等；

　　②UNICODE法：在IIS中，以UNICODE字符集实现国际化，我们完全可以IE中输入的字符串化成UNICODE字符串进行输入。如+ =%2B，空格=%20 等；URLEncode信息参

　　③ASCII码法：可以把输入的部分或全部字符全部用ASCII码代替，如U=chr

　　(85),a=chr(97)等，ASCII信息；

　　二、区分数据库服务器类型

　　一般来说，ACCESS与SQL－SERVER是最常用的数据库服务器，尽管它们都支持T－SQL标准，但还有不同之处，而且不同的数据库有不同的攻击方法，必须要区别对待。

　　1、 利用数据库服务器的系统变量进行区分SQL－SERVER有user,db_name()等系统变量，利用这些系统值不仅可以判断SQL-SERVER，而且还可以得到大量有用信息。如：

　　① HTTP://xxx.xxx.xxx/abc.asp... and user>0 不仅可以判断是否是SQL-SERVER，而还可以得到当前连接到数据库的用户名

　　②HTTP://xxx.xxx.xxx/abc.asp... ... db_name()>0 不仅可以判断是否是SQL-SERVER，而还可以得到当前正在使用的数据库名；

　　2、利用系统表

　　ACCESS的系统表是msysobjects,且在WEB环境下没有访问权限，而SQL-SERVER的系统表是sysobjects,在WEB环境下有访问权限。对于以下两条语句：

　　①HTTP://xxx.xxx.xxx/abc.asp... and (select count(*) from sysobjects)>0

　　②HTTP://xxx.xxx.xxx/abc.asp... and (select count(*) from msysobjects)>0

　　若数据库是SQL-SERVE，则第一条，abc.asp一定运行正常，第二条则异常；若是ACCESS则两条都会异常。

　　3、 MSSQL三个关键系统表

　 　sysdatabases系统表：Microsoft SQL Server 上的每个数据库在表中占一行。最初安装 SQL Server 时，sysdatabases 包含 master、model、msdb、mssqlweb 和tempdb 数据库的项。该表只存储在 master 数据库中。 这个表保存在master数据库中，这个表中保存的是什么信息呢？这个非常重要。他是 保存了所有的库名,以及库的ID和一些相关信息。

　 　这里我把对于我们有用的字段名称和相关说明给大家列出来。name //表示库的名字。dbid //表示库的ID，dbid从1到5是系统的。分别是：master、model、msdb、mssqlweb、tempdb 这五个库。用select * from master.dbo.sysdatabases 就可以查询出所有的库名。

　　好在要防止ASP.NET应用被SQL注入式攻击闯入并不是一件特别困难的事情，只要在利用表单输入的内容构造SQL命令之前，把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。

　　⑴ 对于动态构造SQL查询的场合，可以使用下面的技术：

　 　第一：替换单引号，即把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令的含义。再来看前面的例子，“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”显然会得到与“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的结果。

　　第二：删除用户输入内容中的所有连字符，防止攻击者构造出类如 “SELECT * from Users WHERE login = 'mas' —— AND password =''”之类的查询，因为这类查询的后半部分已经被注释掉，不再有效，攻击者只要知道一个合法的用户登录名称，根本不需要知道用户的密码就可以顺利获得访 问权限。

　　第三：对于用来执行查询的数据库帐户，限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作，因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。

　　⑵ 用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外，它还使得数据库权限可以限制到只允许特定的存储过程执行，所有的用户输入必须遵从被调用的存储过程的安全上下文，这样就很难再发生注入式攻击了。

　　⑶ 限制表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符，那么不要认可表单中输入的10个以上的字符，这将大大增加攻击者在SQL命令中插入有害代码的难度。

　　⑷ 检查用户输入的合法性，确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行——之所以要执行服务器端验证，是为了弥补客户端验证机制脆弱的安全性。

　 　在客户端，攻击者完全有可能获得网页的源代码，修改验证合法性的脚本(或者直接删除脚本)，然后将非法内容通过修改后的表单提交给服务器。因此，要保证 验证操作确实已经执行，唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象，例如 RegularExpressionValidator，它们能够自动生成验证用的客户端脚本，当然你也可以插入服务器端的方法调用。如果找不到现成的验 证对象，你可以通过CustomValidator自己创建一个。

　　⑸ 将用户登录名称、密码等数据加密保存。加密用户输入的数据，然后再将它与数据库中保存的数据比较，这相当于对用户输入

　 　的数据进行了“消毒”处理，用户输入的数据不再对数据库有任何特殊的意义，从而也就防止了攻击者注入SQL命令。 System.Web.Security.FormsAuthentication类有一个 HashPasswordForStoringInConfigFile，非常适合于对输入数据进行消毒处理。

文章发布：http://www.jdkjweb.com