|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)�,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體�,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息�。資源包括高性能計(jì)算機(jī)、存儲資源�、數(shù)據(jù)資源、信息資源�、知識資源��、專家資源��、大型數(shù)據(jù)庫�、網(wǎng)絡(luò)�、傳感器等�����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享�����,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段����。 什么是SQL 指令植入式攻擊�?
在設(shè)計(jì)或者維護(hù) Web 網(wǎng)站時(shí)��,你也許擔(dān)心它們會(huì)受到某些卑鄙用戶的惡意攻擊��。的確���,如今的 Web 網(wǎng)站開發(fā)者們針對其站點(diǎn)所在操作系統(tǒng)平臺或Web 服務(wù)器的安全性而展開的討論實(shí)在太多了���。不錯(cuò),IIS 服務(wù)器的安全漏洞可能招致惡意攻擊�����;但你的安全檢查清單不應(yīng)該僅僅有 IIS 安全性這一條。有些代碼�����,它們通常是專門為數(shù)據(jù)驅(qū)動(dòng)(data-driven) 的 Web 網(wǎng)站而設(shè)計(jì)的��,實(shí)際上往往同其它 IIS 漏洞一樣存在嚴(yán)重的安全隱患���。這些潛伏于代碼中的安全隱患就有可能被稱為“SQL 指令植入式攻擊” (SQL injection) 的手段所利用而導(dǎo)致服務(wù)器受到攻擊�����。
SQL 指令植入式攻擊技術(shù)使得攻擊者能夠利用 Web 應(yīng)用程序中某些疏于防范的輸入機(jī)會(huì)動(dòng)態(tài)生成特殊的 SQL 指令語句。舉一個(gè)常見的例子:
某 Web 網(wǎng)站采用表單來收集訪問者的用戶名和密碼以確認(rèn)他有足夠權(quán)限訪問某些保密信息�,然后該表單被發(fā)送到 Web 服務(wù)器進(jìn)行處理。接下來����,服務(wù)器端的ASP 腳本根據(jù)表單提供的信息生成 SQL 指令語句提交到 SQL 服務(wù)器,并通過分析 SQL 服務(wù)器的返回結(jié)果來判斷該用戶名/密碼組合是否有效���。
為了實(shí)現(xiàn)這樣的功能����,Web 程序員可能會(huì)設(shè)計(jì)兩個(gè)頁面:一個(gè) HTML 頁面 (Login.htm) 用于登錄,另一個(gè)ASP 頁面 (ExecLogin.asp) 用于驗(yàn)證用戶權(quán)限(即向數(shù)據(jù)庫查詢用戶名/密碼組合是否存在)�����。具體代碼可能象這樣:
Login.htm (HTML 頁面)
代碼:<form action="ExecLogin.asp" method="post"> Username: <input type="text" name="txtUsername"><br> Password: <input type="password" name="txtPassword"><br> <input type="submit"> </form>
ExecLogin.asp (ASP 頁面)
代碼:<% Dim p_strUsername, p_strPassword, objRS, strSQL p_strUsername = Request.Form("txtUsername") p_strPassword = Request.Form("txtPassword") strSQL = "SELECT * FROM tblUsers " & _ "WHERE Username='" & p_strUsername & _ "' and Password='" & p_strPassword & "'" Set objRS = Server.CreateObject("ADODB.Recordset") objRS.Open strSQL, "DSN=..." If (objRS.EOF) Then Response.Write "Invalid login." Else Response.Write "You are logged in as " & objRS("Username") End If Set objRS = Nothing %>
乍一看��,ExecLogin.asp 的代碼似乎沒有任何安全漏洞��,因?yàn)橛脩羧绻唤o出有效的用戶名/密碼組合就無法登錄���。然而,這段代碼偏偏不安全��,而且它正是SQL 指令植入式攻擊的理想目標(biāo)�����。具體而言����,設(shè)計(jì)者把用戶的輸入直接用于構(gòu)建SQL 指令���,從而使攻擊者能夠自行決定即將被執(zhí)行的 SQL 指令���。例如:攻擊者可能會(huì)在表單的用戶名或密碼欄中輸入包含“ or ”和“=” 等特殊字符���。于是,提交給數(shù)據(jù)庫的 SQL 指令就可能是:
代碼:SELECT * FROM tblUsers WHERE Username='' or ''='' and Password = '' or ''=''
這樣�����,SQL 服務(wù)器將返回 tblUsers 表格中的所有記錄�,而 ASP 腳本將會(huì)因此而誤認(rèn)為攻擊者的輸入符合 tblUsers 表格中的第一條記錄����,從而允許攻擊者以該用戶的名義登入網(wǎng)站。
SQL 指令植入式攻擊還有另一種形式��,它發(fā)生在 ASP 服務(wù)器根據(jù) querystring 參數(shù)動(dòng)態(tài)生成網(wǎng)頁時(shí)��。這里有一個(gè)例子����,此 ASP 頁面從 URL 中提取出 querystring 參數(shù)中的 ID 值,然后根據(jù) ID 值動(dòng)態(tài)生成后繼頁面:
代碼:<% Dim p_lngID, objRS, strSQL p_lngID = Request("ID") strSQL = "SELECT * FROM tblArticles WHERE ID=" & p_lngID Set objRS = Server.CreateObject("ADODB.Recordset") objRS.Open strSQL, "DSN=..." If (Not objRS.EOF) Then Response.Write objRS("ArticleContent") Set objRS = Nothing %>
在一般情況下�����,此 ASP 腳本能夠顯示具有特定 ID 值的文章的內(nèi)容,而 ID 值是由 URL 中的 querystring 參數(shù)指定的���。例如:當(dāng)URL為 http://www.example.com/Article.asp?ID=1055 時(shí)��,ASP 就會(huì)根據(jù) ID 為 1055 的文章提供的內(nèi)容生成頁面�����。
如同前述登錄頁面的例子一樣����,此段代碼也向SQL 指令植入式攻擊敞開了大門����。某些惡意用戶可能會(huì)把 querystring 中的文章 ID 值偷換為“0 or 1=1”等內(nèi)容(也就是說����,把 URL 換成 http://www.example.com/Article.asp?ID=0 or 1=1) 從而誘使 ASP 腳本生成不安全的 SQL 指令如:
代碼:SELECT * FROM tblArticles WHERE ID=0 or 1=1
于是,數(shù)據(jù)庫將會(huì)返回所有文章的內(nèi)容�。
當(dāng)然了,本例服務(wù)器所受的攻擊不一定會(huì)引起什么嚴(yán)重后果��。可是�,攻擊者卻可能變本加厲,比如用同樣的手段發(fā)送 DELETE 等 SQL 指令��。這只需要簡單地修改前述 URL 中的 querystring 參數(shù)就可以了���!例如:任何人都可以通過 “http://www.example.com/Article.asp?ID=1055; DELETE FROM tblArticles ” 之類的 URL 來訪問 Web 網(wǎng)站。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中��,正因如此����,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上�、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢�,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑��。
|
