SQL注入漏洞入侵的過程及其防范措施

ASP編程門檻很低，新手很容易上路。在一段不長的時間里，新手往往就已經(jīng)能夠編出看來比較完美的動態(tài)網(wǎng)站，在功能上，老手能做到的，新手也能夠做到。那么新手與老手就沒區(qū)別了嗎？這里面區(qū)別可就大了，只不過外行人很難一眼就看出來罷了。在界面的友好性、運行性能以及網(wǎng)站的安全性方面是新手與老手之間區(qū)別的三個集中點。而在安全性方面，新手最容易忽略的問題就是SQL注入漏洞的問題。用NBSI 2.0對網(wǎng)上的一些ASP網(wǎng)站稍加掃描，就能發(fā)現(xiàn)許多ASP網(wǎng)站存在SQL注入漏洞，教育網(wǎng)里高校內(nèi)部機構的一些網(wǎng)站這種漏洞就更普遍了，可能這是因為這些網(wǎng)站大都是一些學生做的緣故吧，雖然個個都很聰明，可是畢竟沒有經(jīng)驗，而且處于學習中，難免漏洞多多了。本文主要講講SQL注入的防范措施，而要明白這些防范措施的用處，須先詳細講解利用SQL注入漏洞入侵的過程。新手們看明白啦。
    相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應用程序存在安全隱患。如這是一個正常的網(wǎng)址http://localhost/lawjia/show.asp?ID=444，將這個網(wǎng)址提交到服務器后，服務器將進行類似Select * from 表名 where 字段="&ID的查詢(ID即客戶端提交的參數(shù)，本例是即444)，再將查詢結果返回給客戶端，如果這里客戶端故意提交這么一個網(wǎng)址:http://localhost/lawjia/show.asp?ID=444 and user>0，這時，服務器運行Select * from 表名 where 字段=444 and user>0這樣的查詢，當然，這個語句是運行不下去的，肯定出錯，錯誤信息如下：
    ·錯誤類型：
    　Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
    　[Microsoft][ODBC SQL Server Driver]
    　[SQL Server]將 nvarchar 值
    　’sonybb’ 轉換為數(shù)據(jù)類型為 int 的列時發(fā)生語法錯誤。
    　/lawjia/show.asp, 第 47 行
    但是別有用心的人從這個出錯信息中，可以獲得以下信息：該站使用MS＿SQL數(shù)據(jù)庫，用ODBC連接，連接帳號名為：sonybb。所謂SQL注入（SQL Injection），就是利用程序員對用戶輸入數(shù)據(jù)的合法性檢測不嚴或不檢測的特點，故意從客戶端提交特殊的代碼，從而收集程序及服務器的信息，從而獲取想得到的資料。通常別有用心者的目標是獲取網(wǎng)站管理員的帳號和密碼。比如當某個人知道網(wǎng)站管理員帳號存在表login中，管理員帳號名為admin，他想知道管理員密碼，這里他從客戶端接著提交這樣一個網(wǎng)址：http://localhost/lawjia/show.asp?ID=444 and (Select password from login where user_name=’admin’)>0，返回的出錯信息如下：
    ·錯誤類型：
    　Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)
    　[Microsoft][ODBC SQL Server Driver]
    　[SQL Server]將 varchar 值 ’
    　?。溃＃dmin’ 轉換為數(shù)據(jù)類型為 int 的列時發(fā)生語法錯誤。
    　/lawjia/show.asp, 第 47 行
    你知道嗎？上面標紅的部分就是管理員帳號admin的密碼！雖然很復雜，讓人看幾遍也記不住的，但它就這樣顯示在你面前了，這時您就可以用這個帳號和密碼接管人家的網(wǎng)站了！這時你可能還會說，如果他不是事先知道管理員帳號存在表login中，而且知道管理員帳號為admin，那他就不可能獲得管理員密碼。你錯了，只要人家愿意多花時間嘗試，他將可以獲得數(shù)據(jù)庫連接帳號權限內(nèi)所能獲得的所有信息！具體過程請參看網(wǎng)上的這篇文章：SQL注入漏洞全接觸。
    當然這個過程是很煩瑣的而且要花費很多的時間，如果只能以這種手動方式進行SQL注入入侵的話，那么許多存在SQL注入漏洞的ASP網(wǎng)站會安全很多了，不是漏洞不存在了，而是利用這個漏洞入侵的成本太高了。但是如果利用專門的黑客工具來入侵的話，那情況就大大不同了。手動方式進行SQL注入入侵至少需要半天或一天乃至很多天的時間，而利用專門的工具來入侵就只需要幾分鐘時間了（視網(wǎng)速快慢決定），再利用獲得的管理帳號和密碼，上傳一個從網(wǎng)上下載的ASP后門程序，就輕易獲得整個網(wǎng)站的管理權限了，甚至整個服務器的管理權限。最有名的一種SQL注入入侵工具是NBSI 2.0，現(xiàn)在已經(jīng)出到2.0版本了，不過，人家正式名稱不叫SQL注入入侵工具，而叫做網(wǎng)站安全漏洞檢測工具。有了這個所謂的檢測工具，使得入侵存在SQL注入漏洞的ASP網(wǎng)站成了小兒科的游戲，那些既不懂ASP又不懂SQL、年紀小小的男性青年常常得以在一天之內(nèi)入侵十多個ASP網(wǎng)站，他們以此獲得內(nèi)心的極大滿足。他們似乎也非常講究職業(yè)道德，往往并不破壞網(wǎng)站數(shù)據(jù)和系統(tǒng)，常見的破壞方式大都僅僅是改換掉網(wǎng)站的主頁，留下"善意的警告"，如：你的網(wǎng)站存在SQL注入漏洞，請管理員做好防范措施！并聲明"我沒有破壞數(shù)據(jù)和系統(tǒng)"，有的還要借機發(fā)布一下他的倡導："國內(nèi)網(wǎng)站大家不要入侵"，最后，簽上他的鼎鼎大名是必不可少的程序。
    如此大的成就多數(shù)情況下僅需動動鼠標就做到了。打開最新版的NBSI 2.0，輸入地址到A區(qū)，注意網(wǎng)址必須是帶傳遞參數(shù)的那種，點擊右邊的檢測按鈕，即出來B區(qū)信息，顯示當前用戶為sonybb的權限為PUBLIC，當前庫為lawjia。有點可惜啊，如果是SA權限的話，就可以跨庫注入了。不過，這個權限也足夠獲取該網(wǎng)站管理員帳號和密碼了。點C區(qū)下的自動猜解按鈕，即出來當前庫lawjia中的各種表，哇，login表中一定是存管理員帳號和密碼的吧？選中它吧，接著點擊D區(qū)下的自動猜解按鈕，立即出來login表里的列名稱，果然是存放用戶名和密碼的啊，太棒了！趕快打上勾，迫不急待的點擊E區(qū)下的自動猜解按鈕。激動人心的時刻就要到來啦，只見唰唰地幾下，帳號與密碼全部出來了。剩下的事就是辨別哪一個帳號是管理員了。