下载文档原格式
避免SQL注入三种主要方法SQL注入是一种常见的安全漏洞,攻击者可以通过恶意构造的输入数据来攻击数据库系统,获取敏感信息或者修改数据。
为了避免SQL注入攻击,可以采取以下三种主要方法:1.使用参数化查询参数化查询是最有效的防止SQL注入攻击的方法之一、在使用参数化查询时,所有的用户输入都会被作为参数传递给SQL语句,而不是直接拼接到SQL语句中。
这样可以防止攻击者将恶意的SQL代码插入到查询语句中。
例如,使用Java的JDBC进行数据库操作时,可以使用PreparedStatement接口来实现参数化查询:```String sql = "SELECT * FROM users WHERE username = ? AND password = ?";PreparedStatement statement =connection.prepareStatement(sql);statement.setString(1, username);statement.setString(2, password);ResultSet resultSet = statement.executeQuery(;```在这个例子中,通过使用`?`占位符来指定参数的位置,然后使用`setString(`方法将真正的参数值绑定到查询语句中。
这样无论用户输入的是什么,都不会破坏原有的SQL语句结构。
2.输入验证和过滤输入验证和过滤是防止SQL注入攻击的重要手段之一、通过对用户输入数据进行验证和过滤,可以排除潜在的安全风险。
在验证用户输入时,应该注意以下几点:-长度验证:限制输入的最大长度,以防止输入超出预期范围。
-数据类型验证:检查输入的数据是否符合预期的数据类型,如数字、日期等。
-白名单验证:只允许特定的字符或者字符集合,排除其他潜在的恶意字符。
在过滤用户输入时,可以使用一些常见的函数或方法,比如:- `mysqli_real_escape_string(`:用于转义特殊字符,防止SQL注入。
防止sql注入的正则
SQL注入是一种常见的网络攻击手段,黑客通过在输入框中输入恶意的SQL
代码,从而获取数据库中的敏感信息或对数据库进行破坏。
为了防止SQL注入攻击,可以使用正则表达式来对用户输入的数据进行过滤和验证,从而保证输入的安全性。
首先,我们可以使用正则表达式来过滤用户输入的数据,只允许特定的字符或
格式输入到数据库中。
例如,我们可以使用正则表达式限制用户只能输入数字、字母和部分特殊字符,而禁止输入SQL关键字或特殊的SQL语句。
这样就可以有效
防止黑客通过输入恶意的SQL代码来进行攻击。
其次,我们可以使用正则表达式来验证用户输入的数据格式是否符合要求。
例如,对于手机号码、邮箱地址等特定格式的数据,我们可以使用正则表达式来验证用户输入的数据是否符合该格式,从而确保输入的数据的合法性和安全性。
如果用户输入的数据不符合指定的格式,就可以及时给出提示并拒绝输入,从而有效防止SQL注入攻击。
另外,正则表达式还可以用来对用户输入的数据进行转义,将特殊字符转换为
普通字符,从而避免SQL注入攻击。
通过将用户输入的特殊字符进行转义处理,
可以有效防止黑客利用特殊字符来构造恶意的SQL语句,保护数据库的安全性。
总的来说,使用正则表达式来防止SQL注入攻击是一种简单而有效的方法。
通过对用户输入的数据进行过滤、验证和转义处理,可以有效保护数据库的安全性,防止黑客通过输入恶意的SQL代码来进行攻击。
因此,在开发和设计网站的时候,我们应该充分利用正则表达式这一工具,提高网站的安全性,保护用户的隐私信息。
只有这样,我们才能确保网站的正常运行,避免遭受SQL注入等网络攻击的危害。
sql注入加固方法SQL注入是一种常见的网络攻击手法,旨在利用应用程序对用户输入数据的处理不当,从而执行恶意的SQL语句。
为了保护数据库的安全,开发人员需要采取一些措施来加固应用程序,防止SQL注入攻击。
本文将介绍一些常见的SQL注入加固方法。
1. 使用参数化查询参数化查询是一种预编译SQL语句的方法,可以防止SQL注入攻击。
开发人员应该使用占位符(如问号或冒号),并将用户输入作为参数传递给SQL语句。
这样可以确保用户输入被正确地转义,从而防止恶意代码的注入。
例如,使用参数化查询可以将以下SQL语句进行改进:```sqlSELECT * FROM users WHERE username = 'admin' AND password = 'password';```改进后的参数化查询:```sqlSELECT * FROM users WHERE username = ? AND password = ?;```在执行查询之前,开发人员需要将用户输入绑定到预编译的SQL语句中。
2. 输入验证和过滤开发人员应该对用户输入进行验证和过滤,以确保输入符合预期的格式和内容。
例如,对于数字输入,可以使用正则表达式或内置函数进行验证。
对于文本输入,可以使用特定的过滤函数来去除潜在的恶意代码。
3. 最小权限原则为了减少潜在的风险,数据库用户应该被授予最小的权限。
开发人员应该根据应用程序的需求,为每个数据库用户分配最小必要的权限。
这样可以限制潜在攻击者对数据库的访问权限,减少可能的损失。
4. 错误消息处理开发人员应该避免在错误消息中透露敏感信息,例如数据库结构或具体的SQL语句。
错误消息应该被处理并记录,而不是直接返回给用户。
此外,错误消息应该以一般化的方式呈现,以防止攻击者通过分析错误消息来获取有关系统的敏感信息。
5. 防火墙和安全策略在应用程序和数据库之间可以部署防火墙来过滤恶意的SQL注入请求。
六个建议防止SQL注入式攻击SQL注入式攻击是一种利用应用程序对输入数据进行不当处理的安全漏洞,攻击者通过在输入数据中插入恶意的SQL语句来执行非预期的数据库操作。
为了防止SQL注入式攻击,以下是六个建议:1.使用预编译语句:使用预编译语句可以将SQL查询和参数分开,避免在构造SQL语句时拼接输入数据。
预编译语句会将输入数据视为参数,而不会将其作为SQL语句的一部分。
这样可以有效防止注入攻击。
2.参数化查询:使用参数化查询可以将输入参数绑定到预编译的SQL语句中,而不是直接将输入数据插入SQL语句中。
参数化查询可以确保输入数据在传递给数据库之前被正确地转义和处理,从而防止注入攻击。
3.输入验证和过滤:对于从用户接收的输入数据,进行验证和过滤是非常重要的。
输入验证可以确保输入数据符合预期的格式和类型,而过滤则可以去除输入数据中的特殊字符和关键字。
这样可以减少注入攻击的可能性。
4.最小权限原则:在配置数据库时,要将应用程序连接到数据库的账户权限设置为最小权限,避免使用具有过高权限的账户。
这样即使发生了注入攻击,攻击者也只能执行被授权的最低操作,减少了攻击的影响范围。
5.日志记录和监控:实施日志记录和监控机制可以帮助及时发现和响应潜在的SQL注入攻击。
通过监控数据库访问日志和用户行为,可以识别异常的查询和行为模式,及时采取措施防止攻击或限制其影响。
6.定期更新和维护:定期更新和维护数据库和应用程序可以帮助修补已知的安全漏洞和软件缺陷。
及时安装数据库和应用程序的补丁可以减少攻击者利用已知漏洞进行注入攻击的机会。
总之,通过使用预编译语句、参数化查询、输入验证和过滤、最小权限原则、日志记录和监控以及定期更新和维护,可以有效地防止SQL注入式攻击,并提高系统的安全性。
同时,敏感数据的保护也是很重要的,例如加密存储敏感信息等。
综合使用以上方法可以最大程度地降低SQL注入攻击的风险。
SQL注入攻击的种类和防范手段1.基于错误的注入攻击:攻击者在SQL查询中插入错误或不完整的语句,以引发错误信息或日志,从而获取对数据库的相关信息。
2. 基于联合查询的注入攻击:攻击者通过在用户输入中插入union 语句,用于合并两个或多个查询结果,从而泄露数据库中的数据。
3.基于布尔查询的注入攻击:攻击者通过修改WHERE或HAVING语句中的条件,利用布尔值的真假来获取有关数据库的信息。
4.基于时间延迟的注入攻击:攻击者通过在数据库查询中添加延迟函数,如SLEEP(,使应用程序的响应时间延长,从而可以通过测量响应时间来判断条件是否成立。
5. 盲注入攻击:攻击者无法直接从Web应用程序中获取任何错误信息,但可以使用其他方式来确认注入成功,如延迟注入或二分法等方法。
防范手段:1.使用参数化查询或预编译语句:参数化查询可以防止攻击者在用户输入中插入恶意的SQL代码。
2.过滤和验证用户输入:对用户输入进行严格的过滤和验证,确保只接受合法的数据,如去除非法字符、转义特殊字符等。
3.最小权限原则:数据库用户应该具有最小的权限,只能执行必要的操作,并且不应具有直接修改数据库结构或执行系统命令的权限。
4.改变默认的数据库监听端口:将数据库的监听端口从默认的端口改为非常规的端口,可以减少被攻击的概率。
5.错误信息处理:应该避免在错误信息中透露关键的系统或数据库信息,最好将详细的错误信息记录在日志中,只向用户显示一般的错误提示信息。
6.防火墙和入侵检测系统:使用防火墙和入侵检测系统来监控和阻止潜在的SQL注入攻击。
7.定期更新和维护应用程序和数据库:及时更新和维护应用程序和数据库的补丁,以修复已知的漏洞。
8.检查第三方代码库和插件:确保使用的任何第三方代码库和插件都是受信任的,并且定期更新和审查其代码。
9.数据加密和敏感信息保护:对数据库中的敏感数据进行加密,并采取适当的措施来保护加密密钥和凭证。
综上所述,针对SQL注入攻击,我们需要综合使用多种防范手段,既包括在应用程序层面上做好安全防护,如使用参数化查询、过滤和验证用户输入,也需要在网络和基础设施层面上加强安全措施,如使用防火墙、入侵检测系统等。
SQL注入入侵防范技术措施SQL注入是一种常见的web应用漏洞,攻击者利用输入的数据篡改SQL查询语句,从而获取、修改或删除数据库中的数据。
为了防范SQL注入,需要采取一系列的技术措施来保护web应用的安全性。
以下是常见的SQL注入防范技术措施:1.使用参数化查询:参数化查询是一种通过将用户输入的值作为参数传递给预编译的SQL语句来执行查询的方法。
这样可以避免将用户输入直接拼接到SQL语句中,从而防止注入攻击。
3.拒绝动态SQL:尽可能避免使用动态SQL语句,尤其是直接拼接用户输入的内容。
如果必须使用动态SQL,确保对输入进行严格的验证和过滤,以及使用参数化查询来执行动态SQL。
4.最小权限原则:给数据库用户分配最低权限的角色,避免使用具有过高权限的数据库用户。
限制数据库用户的访问权限可以减少攻击者成功入侵数据库的可能性。
5.日志监控与分析:记录所有SQL查询的日志,并对其进行监控和分析。
通过对日志进行审查,可以发现潜在的SQL注入攻击,并及时采取相应的措施来应对。
6. 使用防火墙:在数据库和web服务器之间设置防火墙,限制对数据库的直接访问。
只允许web服务器的IP地址访问数据库,并且禁止来自外部的直接连接。
这样可以降低数据库被攻击的风险。
7. 定期更新和维护:及时更新数据库软件和相关的补丁程序,以及web应用程序。
这样可以修复已知的安全漏洞,并提高系统的安全性。
另外,定期对数据库进行巡检和维护,确保数据库的完整性和安全性。
8. 使用安全编码实践:采用安全编码的最佳实践来开发web应用程序,例如避免在页面中显示详细的错误信息,防止敏感信息泄露等。
了解和遵守安全编码的指导原则,可以减少SQL注入等漏洞的出现。
9.安全训练和意识提高:加强员工的安全培训,提高对SQL注入等安全漏洞的认识和意识。
建立一个安全意识的文化,让员工充分理解安全风险,并知道如何正确地处理用户输入和数据库操作。
总之,SQL注入是一种常见的web应用漏洞,但采取正确的技术措施可以有效地防范注入攻击。
sql注入类的漏洞防范方法SQL注入是一种常见的网络攻击方式,攻击者通过在Web应用程序中注入恶意SQL语句,从而获取敏感信息或者控制数据库。
SQL 注入攻击的危害性非常大,因此,Web应用程序的开发者需要采取一系列措施来防范SQL注入攻击。
1. 输入验证输入验证是防范SQL注入攻击的第一道防线。
开发者应该对所有用户输入的数据进行验证,确保输入的数据符合预期的格式和类型。
例如,如果一个输入框只允许输入数字,那么开发者应该对输入的数据进行验证,确保输入的数据只包含数字。
如果输入的数据不符合预期的格式和类型,应该给用户一个错误提示,并要求重新输入。
2. 参数化查询参数化查询是防范SQL注入攻击的最有效的方法之一。
参数化查询是指将SQL语句和参数分开处理,将参数作为输入,而不是将参数直接拼接到SQL语句中。
这样可以避免SQL注入攻击,因为攻击者无法通过参数注入恶意SQL语句。
例如,下面的代码是一个拼接参数的SQL查询语句:```String sql = "SELECT * FROM users WHERE username = '" +username + "' AND password = '" + password + "'";```这种方式容易受到SQL注入攻击,因为攻击者可以通过输入恶意的用户名和密码来注入SQL语句。
相反,下面的代码是一个参数化查询的SQL语句:```String sql = "SELECT * FROM users WHERE username = ? AND password = ?";PreparedStatement stmt = conn.prepareStatement(sql);stmt.setString(1, username);stmt.setString(2, password);ResultSet rs = stmt.executeQuery();```这种方式可以避免SQL注入攻击,因为参数是通过PreparedStatement对象传递的,而不是直接拼接到SQL语句中。
数据库防火墙如何防范SQL注入行为一、SQL注入简介什么是SQL注入SQL注入是当前针对数据库安全进行外部攻击的一种常见手段。
现有主流应用大多基于B/S架构开发,SQL注入的攻击方式正是利用web层和通讯层的缺陷对数据库进行外部恶意攻击。
将SQL命令巧妙的插入通讯的交互过程中,如:Web表单的递交、域名输入、页面请求等。
通过硬性植入的查询语句攻击数据库,以期利用服务器自身缺陷执行恶意的SQL命令,从而入侵数据库。
因此通过SQL注入攻击方式产生的安全事件也在增多,对系统的危害性极大。
通过SQL注入可以远程获取并利用应用里的数据,并且获取未经hashed加密的用户秘钥以及信用卡信息,甚至有以管理员身份登陆进这些应用的可能。
下面通过一组常见的SQL注入攻击方式,进行说明:首先,我们假设数据库中有JOB表,模拟进行攻击,查询表中数据量。
然后,应用中调用恶意的攻击性url向JOB表植入SQL语句:http://localhost:port/webapp/Default.aspx?jobid=1'or 1=(select count(*) from job)—那么,攻击时等效的SQL语句如下:1.SELECT job_id, job_desc, min_lvl, max_lvl2.FROM jobs3.WHERE job_id='1'or 1=(select count(*) from jobs) --'如果SQL注入的假设错误,web页面如图一:图一如果SQL注入的假设成功,web界面如图二:图二攻击说明:如果SQL注入的假设成功,即证明了数据库中该表的表名是jobs,从而我们也就可以对该表进行增删改操作,从而对数据库安全造成极其严重的危害。
SQL注入的8种攻击行为安全界有句名言“未知攻,焉知防”,想要预防SQL注入,需要进一步剖析SQL 注入都有哪些常见攻击方式。
1. 猜测数据库名,备份数据库2. 猜解字段名称3. 遍历系统的目录结构,分析结构并发现WEB虚拟目录,植入木马4. 查询当前用户的数据库权限5. 设置新的数据库帐户提权得到数据库管理员账户权限6. 利用存储过程获取操作系统管理员账户7. 客户端脚本攻击:通过正常的输入提交方式将恶意脚本提交到数据库中,当其他用户浏览此内容时就会受到恶意脚本的攻击。
防止SQL注入的五种方法SQL注入是一种常见的安全漏洞,攻击者利用这种漏洞向应用程序的数据库中插入恶意的SQL代码,从而获取和操作数据库中的数据。
为了防止SQL注入攻击,我们可以采取以下五种方法。
1.使用参数化查询:参数化查询是一种使用参数占位符(例如,问号或命名占位符)代替直接将用户输入拼接到SQL查询字符串中的方法。
通过将用户输入作为参数传递给SQL查询,数据库会以参数的形式处理用户输入,而不会将其视为SQL代码的一部分。
这样可以有效地防止SQL注入攻击。
例如,在使用JDBC执行SQL查询时,可以使用PreparedStatement 对象来创建参数化查询。
示例代码如下:```javaString sql = "SELECT * FROM users WHERE username = ?";PreparedStatement statement =connection.prepareStatement(sql);statement.setString(1, userInput);ResultSet resultSet = statement.executeQuery(;```在此示例中,将用户输入作为参数传递给了参数化查询,而不是直接将其拼接到SQL查询字符串中。
2.输入验证与过滤:输入验证是一种对用户输入数据进行检查的方法,以确保其符合预期的数据类型、格式和长度。
通过验证用户输入,可以过滤掉恶意输入,从而降低SQL注入攻击的风险。
例如,在接收用户输入的地方,可以使用正则表达式或其他方法对其进行验证和过滤。
在接收用户名输入时,可以使用正则表达式确保其只包含字母和数字,示例代码如下:```javaString regex = "^[a-zA-Z0-9]+$";if (userInput.matches(regex))//用户名格式正确} else//用户名格式不正确```在此示例中,使用正则表达式`^[a-zA-Z0-9]+$`对用户输入进行验证,确保其只包含字母和数字。
SQL注入是一种常见的网络攻击方式,通过在输入字段中注入恶意的SQL代码,来实现对数据库的非法访问与操作。
而Web应用防火墙(WAF)则是一种用于监控和过滤HTTP流量的安全设备,可以有效防范SQL注入等攻击。
然而,有些SQL注入攻击者通过巧妙的方法可以绕过WAF的保护,进而成功实施攻击。
本文将介绍SQL注入中绕过WAF的具体方法,以增强对此类攻击的防范意识。
1. 修改请求头攻击者可以通过修改HTTP请求的头部信息,来绕过WAF的检测。
他们可以更改User-Agent、Referer、Cookie等字段,以模拟正常浏览器行为,从而隐藏恶意SQL注入代码。
2. 使用编码技术攻击者可以利用URL编码、Base64编码等技术,对SQL注入代码进行编码处理,以逃避WAF的检测。
这样一来,WAF可能无法识别恶意代码,从而放行恶意请求。
3. 分段注入攻击者可以将恶意SQL语句分成多段,并通过不同的请求发送给服务器,绕过WAF的检测。
他们可以将关键的SQL关键字分开,以使WAF无法完整地识别恶意代码。
4. 使用特殊字符攻击者可以利用特殊字符来绕过WAF的检测。
他们可能会使用Unicode编码、URL编码或其他特殊字符,以混淆WAF的识别逻辑,进而成功注入恶意SQL代码。
5. 模糊测试攻击者可以使用模糊测试技术,反复尝试各种恶意SQL注入的方式,以找到可以成功绕过WAF的方法。
通过不断地尝试,攻击者可以发现WAF的漏洞并加以利用。
SQL注入攻击者可以通过修改请求头、使用编码技术、分段注入、使用特殊字符和模糊测试等方法,绕过WAF的检测,成功实施攻击。
对于Web应用程序开发者和安全从业者来说,应充分了解这些绕过WAF的方法,加强对WAF的配置和管理,及时更新WAF的规则数据库,以提升系统的安全性。
另外,在应用开发过程中,也应采用安全编码规范,对用户输入和数据库操作进行严格的过滤和验证,以减少SQL注入漏洞的发生。
数据库防火墙如何防范SQL注入行为
一、SQL注入简介
什么是SQL注入
SQL注入是当前针对数据库安全进行外部攻击的一种常见手段。
现有主流应用大多基于B/S架构开发,SQL注入的攻击方式正是利用web层和通讯层的缺陷对数据库进行外部恶意攻击。
将SQL命令巧妙的插入通讯的交互过程中,如:Web表单的递交、域名输入、页面请求等。
通过硬性植入的查询语句攻击数据库,以期利用服务器自身缺陷执行恶意的SQL命令,从而入侵数据库。
因此通过SQL注入攻击方式产生的安全事件也在增多,对系统的危害性极大。
通过SQL注入可以远程获取并利用应用里的数据,并且获取未经hashed加密的用户秘钥以及信用卡信息,甚至有以管理员身份登陆进这些应用的可能。
下面通过一组常见的SQL注入攻击方式,进行说明:
首先,我们假设数据库中有JOB表,模拟进行攻击,查询表中数据量。
然后,应用中调用恶意的攻击性url向JOB表植入SQL语句:
http://localhost:port/webapp/Default.aspx?jobid=1'or 1=(select count(*) from job)—
那么,攻击时等效的SQL语句如下:
1.SELECT job_id, job_desc, min_lvl, max_lvl
2.FROM jobs
3.WHERE job_id='1'or 1=(select count(*) from jobs
) --'
如果SQL注入的假设错误,web页面如图一:
图一
如果SQL注入的假设成功,web界面如图二:
图二
攻击说明:如果SQL注入的假设成功,即证明了数据库中该表的表名是jobs,从而我们也就可以对该表进行增删改操作,从而对数据库安全造成极其严重的危害。
SQL注入的8种攻击行为
安全界有句名言“未知攻,焉知防”,想要预防SQL注入,需要进一步剖析SQL 注入都有哪些常见攻击方式。
1. 猜测数据库名,备份数据库
2. 猜解字段名称
3. 遍历系统的目录结构,分析结构并发现WEB虚拟目录,植入木马
4. 查询当前用户的数据库权限
5. 设置新的数据库帐户提权得到数据库管理员账户权限
6. 利用存储过程获取操作系统管理员账户
7. 客户端脚本攻击:通过正常的输入提交方式将恶意脚本提交到数据库中,当其他用户浏览此内容时就会受到恶意脚本的攻击。
8. 客户端脚本攻击:通过SQL注入方式将恶意脚本提交到数据库中,直接使用SQL语法UPDATE数据库,并将注入SQL经过“HEX编码”,然后通过exec执行“动态”SQL的特性运行脚本。
综上可知,SQL注入对数据库的攻击方式日趋繁多,危害也日益严重,因此如何做好SQL注入的防护工作也就变成考量数据库安全产品的一道标杆。
SQL注入的5种防护方式
常规的SQL注入防护方式,包括以下几个方面
1. 通过正则表达校验用户输入
2. 通过参数化存储过程进行数据查询存取
3. 参数化SQL语句
4. 为数据库添加新架构
5. 利用LINQ to SQL查询
针对以上SQL 5种注入防护方式,可以在一定程度上避免SQL注入对数据库所带来的入侵危害,但这些操作同步会使数据库操作复杂化,在一定程度上提高了企业运维成本,同时降低数据库操作性能。
因此,一种专门针对数据库防护类产品——数据库防火墙诞生,可以针对SQL注入攻击行为进行主动有效的防护。
二、数据库防火墙如何防御SQL注入
数据库防火墙作为专业的数据库安全防护工具,而针对SQL注入等数据库攻击行为的防护能力如何,是衡量一款数据库防火墙产品优略的关键要素。
目前国内数据库安全的专业厂商安华金和,自主研发推出数据库防火墙(DBFirewall)产品基于对数据库协议的精准解析,对SQL注入行为的分析更加精确,极大程度上避免了对SQL注入攻击行为的漏防与误防。
SQL注入的概念来自于Web系统,数据库防火墙在防止SQL注入时,针对已经形成且即将到达数据库的完整SQL,监测是否有非法的操作,并有效阻止针对于数据库的非法入侵行为。
图三:DBFirewall SQL注入攻击防护引擎
DBFirewall对于SQL注入行为的识别,可以分为以下三种:
1. 通过发送意外数据来触发异常,利用获取数据的GET操作,变更信息的POST 操作,结合数据库异常信息,从而判断注入是否发生。
例如:
www.abc/show.php?category=bikes
www.abc/show.php?c ategory=bik’’es
如果以上两句的执行结果相同,则可能存在SQL注入。
2. 利用应用程序试探。
如果应用程序没有对数据库服务器返回的错误信息进行处理,那么数据库的错误信息将直接反馈到前台,通过这些错误信息,不但可以识别出SQL注入的漏洞所在,甚至可能逐步探测出数据库表信息。
3. 根据应用响应时间判断
通过上述几种方式可以初步判断SQL注入行为的产生,但是为了提高准确性,安华金和数据库防火墙具有独特的设计流程,通过构建一条有效的SQL语句,帮助用户确认SQL注入行为:
1) SQL语句中区分数值类型和字符串类型
2) 验证注入SQL代码时,是否是通过注释剩下的查询来成功结束该语句。
3) 当web应用程序未显示任何错误时,数据库注入时间延迟。
可以检测服务器响应来确定注入
安华金和数据库防火墙基于对SQL注入的各种攻击行为,进行有针对性的数据库防护,从而形成更加完备的防护体系。
下面列举几种常见的SQL注入攻击行为做分析说明,并具体描述一下DBFirewall是如何进行防护的。
1) SQL注入识别数据库
攻击方法一:通过获取数据库异常信息,数据库版本信息的方式进行SQL注入攻击
防御方法:利用DBFW的配置错误替换规则,对常见的错误信息进行替换
攻击方法二:获取版本信息
SELECT banner FROM v$version或
SELECT banner FROM v$version WHERE rownum=1
防控方法:采用风险评估中的系统表控制规则,或者通过访问控制权限中,对不同的用户控制对系统表的访问权限。
2) 利用UNION语句提取数据
如果应用返回第一个(原始)查询得到的数据,那么通过在第一个查询后面注入一个UNION运算符,并添加另外艺哥任意查询,便可以读取到数据库用户访问过的任何一张表。
攻击方法:多次使用各种数据类型替换null,直到系统不再报错为止,例如
1.select username,password from admin union select‘te
st’,’test’from dual
2.
如果测试成功,可以替换为:
1.select username,password from admin union select use
r, ’test’from dual
获得系统信息
防控方法:开启DBFW的风险评估union评测,以及系统表的评测
3) 利用条件语句
攻击方法一:基于时间
对于oracle来说,可以使用sleep,或者UTL_HTTP、HTTPURITYPE向一个死的IP地址发送一个HTTP请求来实现相同的效果。
如果指定一个不存在监听者的IP 地址,那么下列查询将一直等待连接知道超时:
1.select utl_http.request(‘http://10.0.0.1’) from dual
2.select HTTPURITYPE(‘http://10.0.0.1’).getclob() from
dual
防控方法:开启风险评估里的暴力破解函数。
攻击方法二:基于字符串转换
对于传入参数是字符串的,可以用char函数转化其中一个字符,根基返回的结果可以实现SQL注入。
例如:
1.select * from products where brand=’ac’+char(108+(ca
se when system_user=’sa’then else 0 end))+’e’
防控方法:将char作为暴力破解函数。
4) 提权行为
在Oracle中,通过Web应用的SQL注入来提升权限非常困难。
大多数权限提升方法均需要PL/SQL注入,而这种注入很少见。
如果找到一种PL/SQL注入漏洞,可以通过注入PL/SQL代码来提升权限或在数据库服务器上启动操作。
不需要PL/SQL注入的例子是:使用在Oracle的mod_plSQL组件中发现的一个漏洞。
防控方法:使用访问控制或者风险评估,加入用户权限控制或高危操作
除了上述几种常见的SQL注入行为之外,DBFW内置可防护的SQL注入攻击行为还包括:窃取hash口令、利用操作系统攻击等。
并且可以根据:风险级别、告警通知、SQL命令、命令特征、风险函数、表达式、类型、操作人、操作等几项元素自定义SQL注入防护规则。
