查明sql注入漏洞

时间 2020-01-28

标签查明 sql 注入漏洞栏目 SQL 繁體版

原文原文链接

我的整理：mysql

1.注入字符串数据sql

步骤：数据库

a.提交一个单引号做为目标查询的数据，观察是否会形成错误，或结果是否与原来结果不一样。浏览器

b.若是发现错误或其余异常行为，同时提交两个单引号，看会出现什么状况。数据库使用两个单引号做为转义序列，表示一个缘由单引号，所以这个序列解释成引用字符串中的数据，而不是结束字符串的终止符。若是这个输入致使错误或异常行为小时，则应用程序可能易于收到sql注入***服务器

c.为进一步核实漏洞，可使用sql链接符创建一个等同于“良性”输入的字符串，若是应用程序以与处理对应“良性”输入相同的方式处理专门设计的输入，那么可能易受到***。cookie

每种数据库链接方式各不相同，如：oracle

oracle： '||'FOOide

ms-sql: '+'FOOpost

mysql: ' 'FOO 引号之间存在空格测试

2.注入数字数据：

若是sql查询合并用户提交的数字数据，应用程序仍然会将它包含在单引号之中，做为字符串数据进行处理，能够按照上面字符串的测试步骤处理。有时候会直接将数字数据传送到数据库中，并不放在单引号中，使用上面方法没法检测到漏洞，能够按照下面测试步骤。

步骤：

a.尝试输入一个结果等于原始数字值的简单数学表达式。如，若是原始值是2，能够尝试提交1+1或3-1，若是有相同相应，则代表易受到***。

b.若是证明被修改的数据会对应用程序形成明显影响，则前面描述的测试方式最为可靠。可是，若是可以在数字化参数中插入任意输入，但程序行为没有发生改变，前面的检查方法就没法发现漏洞。

c.若是第一个测试方法取得成功，能够利用更加复杂、使用特殊sql关键字和语法的表达式进一步得到与漏洞有关的证据。ASCII命令就是一个典型的实例，它返回被提交字符的数字化ASCII代码，。例如，A的ASCII值是65，在sql中，如下表达式等于2:

67-ASCII('A')

d.若是单引号被过滤掉，那么前面的测试方法就没有用。可是，这时能够利用这样一个事实：即在必要时，数据库会隐含的将数字数据转化成字符串数据。例如，由于字符 1 的ASCII值为49，在sql语句中，如下表达式等于2：

51-ASCII(1)

特别注意：

在查探应用程序是否存在sql注入类缺陷时，咱们经常会犯一个错误，即忘记某些字符在http请求中具备特殊含义。若是但愿在***有效载荷中插入这些字符，必须谨慎的对他们进行url编码，确保应用程序按照预料的方式解释他们，特别是如下字符：

- &和=用于链接名/值对，创建查询字符串和post数据块。应当分别使用%26和%3d对他们进行编码。

- 查询字符串中不容许使用空格，若是在其中提交空格，整个字符串会当即终止。必须使用 + 或 %20 对其编码。

- 因为 + 用于编码空格，若是想在字符串中使用 + ，必须使用 %2b 对其编码。所以，前面的数字化实例中，1+1应以 1%2b1 的形式提交。

- 分号用于分隔cookie字段，必须使用 %3b对其编码。

不管是经过哦拦截代码服务器直接从浏览器中编辑参数值，或是使用其余方法进行编辑，都必须使用这些编码方法。若是没有对相关字符进行编码，那么整个请求可能会无效，或提交预期以外的数据。

3.注入查询结构：

若是用户提交的数据被插入sql查询结构，而不是查询中的数据项，这时实施sql注入***只须要直接应用有效的sql语法，而不须要进行任何“转义”。

sql查询结构中最经常使用的注入点是 order by子句。

步骤：

a.记下任何可能控制应用程序返回的结果的顺序或其中的字段类型的参数。

b.提供一系列在参数值中提交数字值的请求，从数字 1 开始，而后逐个请求递增。

- 若是更改输入中的数字会影响结果的顺序，则说明输入可能被插入到order by子句中。

- 若是提交输入 1 生成一组结果，其中一个列每一行都包含一个 1 ，则说明输入要可能被插入到查询返回的列的名称中，如：

SELECT 1,title,year from books where publisher='wilery'

注解：

在order by子句中实施sql注入与其余注入情形有很大区别，此时，数据中不会接受查询中的union、where、or、and关键字。一般实施注入***须要***者指定一个嵌套查询来替代参数，如用（SELECT 1 WHREE<<condition>> or 1/0=0）替代列名称。