网站应用攻击与防御之注入攻击

注入攻击主要有两种形式, SQL 注入攻击和 OS 注入攻击。攻击者在 HTTP 请求中注入恶意 SQL 命令(drop table users ;),服务器用请求参数构造数据库 SQL 命令时,恶意 SQL 被一起构造,并在数据库中执行。

网站应用攻击与防御之注入攻击

SQL 注入攻击需要攻击者对数据库结构有所了解才能进行,攻击者获取数据库表结构信息的手段有如下几种。

开源

如果网站采用开源软件搭建,如用 Discuz ! 搭建论坛网站,那么网站数据库结构就是公开的,攻击者可以直接获得。

错误回显

如果网站开启错误回显,即服务器内部500错误会显示到浏览器上。攻击者通过故意构造非法参数,使服务端异常信息输出到浏览器端,为攻击猜测数据库表结构提供了便利。

盲注

网站关闭错误回显,攻击者根据页面变化情况判断 SQL 语句的执行情况,据此猜测数据库表结构,此种方式攻击难度较大。

防御 SQL 注入攻击首先要避免被攻击者猜测到表名等数据库表结构信息,此外还可以采用如下方式。

消毒

和防 XSS 攻击一样,请求参数消毒是一种比较简单粗暴又有效的手段。通过正则匹配 ,过滤请求数据中可能注入的 SQL,如“  drop table ”、“ \ b (?: update \ b.*?\bset| delete \ b \ W *?\ bfrom ) \ b ”等。

参数绑定

使用预编译手段,绑定参数是最好的防 SQL 注入方法。目前许多数据访问层框架,如 IBatis,Hibernate 等,都实现 SQL 预编译和参数绑定, 攻击者的恶意 SQL 会被当做 SQL的参数,而不是 SQL 命令被执行。

除了  SQL 注入,攻击者还根据具体应用,注入 OS 命令、编程语言代码等,利用程序漏洞,达到攻击目的。

打赏
吐槽 (4)
×
加载中,请稍候…

您需要 登录 后才能发表评论。

avatar

- 评论

  • 加载中,请稍候…
我要吐槽