web安全测试&渗透测试之sql注入~~

渗透测试概念:

详见百度百科

http://baike.baidu.com/link?url=T3avJhH3_MunEIk9fPzEX5hcSv2IqQlhAfokBzAG4M1CztQrSbwsRkSerdBe17H6tTF5IleOCc7R3ThIBYNO-q

前言：

安全测试范围极广，开门见山，楼主对这行了解的也不是太深，也是在学习探索阶段，此文，也是对自己学习的总结与记录和简单的分享；这里没有具体工具的使用方法，更多的是原理细节的了解和解决方案的探讨。

code部分:

html+jsp+mysql，实现登录与新增数据功能。

html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>web安全测试之sql注入</title>
</head>
<body bgcolor="#ffffff">
<form action="chkLogin.jsp" method="POST">
  <input type="text" name="user" /><br />
  <input type="password" name="pass" /><br />
  <input type="Submit" value="登录" />
</form>
<form action="insert.jsp" method="POST">
  <input type="text" name="user" /><br />
  <input type="text" name="pwd" /><br />
  <input type="Submit" value="新增" />
</form>
</body>
</html>

jsp1

<%@ page contentType="text/html; charset=utf-8" %>
<%@ page import="java.sql.*" %>
<html>
<head>
<title>chkLogin.jsp</title>
</head>
<body bgcolor="#ffffff">
<%
  String user = request.getParameter("user");
  String pass = request.getParameter("pass");

  Connection con = null;
  PreparedStatement ps = null;
  ResultSet rs = null;
  String sql =null;
  try
  {
    Class.forName("com.mysql.jdbc.Driver");
    con = java.sql.DriverManager.getConnection("jdbc:mysql://192.168.0.157/webTest?useUnicode=true&characterEncoding=utf-8","root","123456");
    sql= "SELECT * FROM user WHERE name='"+user+"' AND pwd ='"+pass+"'";
    ps = con.prepareStatement(sql);
//    ps = con.prepareStatement("SELECT * FROM user WHERE name=? AND pwd =?");
//    ps.setString(1, user);
//    ps.setString(2, pass);
    rs = ps.executeQuery();
    if ( rs.next())
    {

      out.println("登录成功!");
      out.println("sql:"+sql);
    }
    else
    {
      out.println("登录失败!");
      out.println("sql:"+sql);
    }
  }catch(Exception ex)
  {
     out.println("登录异常!");
     out.println("sql:"+sql);
     out.println("Exception:"+ex);
  }finally{
    if ( null != rs)
    {
      rs.close();
      rs = null;
    }
    if ( null != ps)
    {
      ps.close();
      ps = null;
    }
    if ( null != con){
      con.close();
      con = null;
    }
  }
%>
</body>
</html>

jsp2

<%@ page contentType="text/html; charset=utf-8" %>
<%@ page import="java.sql.*" %>
<html>
<head>
<title>chkLogin.jsp</title>
</head>
<body bgcolor="#ffffff">
<%
  String user = request.getParameter("user");
  String pass = request.getParameter("pwd");

  Connection con = null;
  PreparedStatement ps = null;
  ResultSet rs = null;
  String sql =null;
  int r = 0;
  try
  {
    Class.forName("com.mysql.jdbc.Driver");
    con = java.sql.DriverManager.getConnection("jdbc:mysql://192.168.0.157/webTest?useUnicode=true&characterEncoding=utf-8","root","123456");
    sql= "insert into user(name,pwd) values ('"+user+"','"+pass+"')";
    ps = con.prepareStatement(sql);
//    ps = con.prepareStatement("SELECT * FROM user WHERE name=? AND pwd =?");
//    ps.setString(1, user);
//    ps.setString(2, pass);
    r = ps.executeUpdate();

    if (r>0)
    {

      out.println("添加成功!");
      out.println("sql:"+sql);
    }
    else
    {
      out.println("添加失败!");
      out.println("sql:"+sql);
    }
  }catch(Exception ex)
  {
     out.println("添加异常!");
     out.println("sql:"+sql);
     out.println("Exception:"+ex);
  }finally{
    if ( null != rs)
    {
      rs.close();
      rs = null;
    }
    if ( null != ps)
    {
      ps.close();
      ps = null;
    }
    if ( null != con){
      con.close();
      con = null;
    }
  }
%>
</body>
</html>

登录原理简介：

html->jsp->db

html页面输入两个参数user、pass，按‘登录’按钮，调用chkLogin.jsp；chkLogin.jsp接收html传入两个参数，去数据库user表里面查询，返回不为null，则登录成功，否则登录失败，异常则登录异常。查询使用的方法是executeQuery，sql组装使用的+参数拼接。

正常场景：

数据库用户数据

页面登录（密码错误）

页面登录正常

到这里为止，我们的实验的环境有了，现在可以大展手脚了~~开始~

sql注入实例1（不知道用户密码密码情况下，登录）：

界面信息输入值

user：test

pwd: ' or 1=1; --

效果

sql注入实例2（不知道用户名与密码情况下，登录）：

界面信息输入值：

user:' or 1=1 ; --

pwd:

效果：

上面两个实例攻防升级案例：

初级方案：界面前端控制--界面参数做过滤与限制；比如' -- ;字符，or字符等；

应对方案：通过fiddler等http协议抓包工具，用户名与密码可以自由编辑，注意浏览器做了url编码，直接请求绕过前端字符串控制。

实例的升级方案：

中级方案：前端控制+逻辑业务控制，逻辑业务控制舍弃使用+拼接方方式，采取获取参数方式实现：

ps = con.prepareStatement("SELECT * FROM user WHERE name=? AND pwd =?");
ps.setString(1, user);
ps.setString(2, pass);

应对方案：

界面字符串输入参数注入与http协议接口方式参数注入失效。

尝试方案（未实践）：

对参数进行各种编码转义，这个环节的内容比较多，楼主水平有限，这块有兴趣的欢迎补充。

以上，就是一个简单的实例，从以上列子中，也没见到多大的危险性啊，只是进入系统而已~~也没见到能产生多大的危险性与数据泄露的重大风险漏洞啊啊~~好的，大菜开始上场~~

新增数据功能原理：

参考登录~

新增功能正常使用：

sql注入实例3（任意添加数据）：

界面输入数据

test','test'),('1','2'); --

效果：

好戏从这里开始~~

第一步，获取当前数据库版本,SELECT version()的使用~

sql注入实例4：

界面输入信息

test',(SELECT version())) --

效果：

第二步，获取数据库数据库对象，information_schema.TABLES使用~

sql注入实例5：

界面输入参数：

test',(select table_schema from information_schema.TABLES group by table_schema limit 1)); --

效果：

dblist

界面：

数据：

后面的过程就是周而复始，你懂的~直到获取所有db

第三步，获取db库下面的表对象与表结构

方法类似，对 information_schema.TABLES熟悉

第四步，获取db用户名信息

哈哈，方式类似，对information_schema.user熟悉

第五步，重置用户密码

哈哈，方式类似，对information_schema熟悉

第六步，获取ip，这个很多方式

上面都得到了，差不多可以宣告GG了~~

解决方案&探讨：

从两个维度来分析，第一个应用层角度，从前端到业务层再到db层。

第二个维度，从软件七层架构角度来，应用层->传输层->网络层->数据链路层->物理层.

具体如下

1.前端对参数严格控制；

2.业务层不要使用拼接字符串实现方式；

3.业务功能请求，增加token字段控制，每次post请求对koken进行有效验证;

4.传输协议，涉及到数据接口参数安全，采取https协议传输；

5.数据库，采取最小原子控制，对用户，用户权限进行严格的权限控制，能做数据读取与数据插入的业务能单独分别使用不同用户尽量区分；

6.应用层访问db，对数据库配置相关信息，特别是pwd字段进行特定算法加密；

7.数据库与应用程序部署在内网环境，与外网进行隔离；

8.系统方面，欢迎运维童鞋补充；

9.其它维度欢迎补充与讨论。

现码的，下班~周末快乐~