SQL注入攻击与防御白皮书.pdf

SQL注入攻击与防御技术白皮书 关键词：SQL注入，SQL语句，特征识别 摘 要：SQL注入攻击是一种比较常见的针对数据库的漏洞攻击方式。本文对该攻击的原理和方 式，结合示例进行了说明，并介绍了H3C安全产品对于此类漏洞的防御措施及策略。 缩略语： 缩略语 英文全名 中文解释 SQL Structured Query Language 结构化查询语言 IPS Intrusion Prevention System 入侵防护系统 URL Uniform Resource Locator 统一资源定位符 目 录 1 SQL注入攻击简介 3 1.1 概述 3 1.2 技术原理 3 1.3 简单的示例 4 2 SQL注入攻击的危害 7 3 IPS设备对于SQL注入攻击的防御 7 3.1 IPS设备SQL注入防御框架 7 3.2 IPS设备SQL注入防御框架的优点 9 4 典型组网应用 10 1 SQL注入攻击简介 1.1 概述 结构化查询语言SQL是用来和关系数据库进行交互的文本语言。它允许用户对数据 进行有效的管理，包含了对数据的查询、操作、定义和控制等几个方面，例如向数 据库写入、插入数据，从数据库读取数据等。 关系数据库广泛应用于网站中，用户一般通过动态网页和数据库间接进行交互。 常见的动态网页一般都通过形如 “http://domain-name/page.asp?arg=value”等带 有参数的URL来访问。动态网页可以是asp、php、jsp 或perl等类型。一个动态网 页中可以有一个或多个参数，参数类型也可能是整型或字符串型等。 安全性考虑不周的网站应用程序 （动态网页）使得攻击者能够构造并提交恶意 URL，将特殊构造的SQL语句插入到提交的参数中，在和关系数据库进行交互时获 得私密信息，或者直接篡改Web数据，这就是所谓的SQL注入攻击。 1.2 技术原理 SQL注入攻击的主要方式是构造巧妙的SQL语句，和网页提交的内容结合起来进行 注入攻击。比较常用的技巧有使用注释符号、恒等式（如1＝1）、使用union语句 进行联合查询、使用insert或update语句插入或修改数据等。此外还可以利用一些 内置函数辅助攻击，如使用phpinfo函数显示基本信息，char 函数规避单引号等。 下面结合具体例子介绍几种简单的构造方法。 在关系数据库中，数据通常是以表的方式存储。假设存在一个名为user的表格，包 含有id、username、pwd和level四个列，分别表示了用户ID、用户名、密码和权限 等级。 表 1 中列举了几种简单的构造方法， 其中出现的 “ $username ”和 “$password”等字符串为变量名称。 表1 构造方法举例 语句 说明 正常语句： SELECT * FROM user WHERE 这条语句后面的内容“AND pwd = ” username = $username AND pwd = $password 因为前面出现的“/* ”而被数据库当作 是注释的内容直接忽略掉（MySQL中采 注入语句： SELECT * FROM user WHERE 用/* 作为注释），这样攻击者就可以不 username = tom/* AND pwd = 提交密码的内