WEB服務端安全---注入攻擊

注入攻擊是web領域最為常見的攻擊方式，其本質是把用戶輸入的數據當做代碼執行，主要原因是違背了數據與代碼分離原則，其發生的兩個條件：用戶可以控制數據輸入；代碼拼接了用戶輸入的數據，把數據當做代碼執行了。

下面是幾種常見注入攻擊及其防御方法：

SQL注入及常見攻擊技巧

經典注入  如：

$username = $_POST['username'];
$sql = "select * from usertable where username="."'".$username."'"

正常情況下用戶輸入 ‘Tom’ ，sql為

"select * from usertable where username='Tom'";

但如果用戶輸入 ”Tom' ; drop table usertable--“,sql如下：

"select * from usertable where username='Tom';drop table usertable--";

如果我們的服務端代碼，數據庫權限沒做任何處理，那么結果傷不起。

並且當用戶輸入了可以導致拼接后sql有語法錯的時候，如果服務器開啟了錯誤顯示，那么將會是攻擊更加便利容易，因為錯誤信息可能會暴露我們的數據庫信息或者sql語句的雛形等等。

 

 

盲注：

大多數情況下服務器是關閉錯誤回顯的，沒有提示的情況下，攻擊者又總結出了盲注：sql注入過程中，sql語句執行的選擇后，選擇的數據不能回顯到前端頁面。此時，攻擊者需要利用一些方法進行判斷或者嘗試，這個過程稱之為盲注。

攻擊者通過真假命題的拼接根據頁面返回情況判斷sql漏洞是否存在。

比如：http://news.com/newsIndo.php?id=1,執行的sql為 select * from newstable where id =1;

攻擊者先是http://news.com/newsIndo.php?id=1 and 1=2  然后  http://news.com/newsIndo.php?id=1 and 1=1 

and 1=2 時 通常是空頁面 或者錯誤信息，如果 and 1=1的時候頁面正常返回，就說明，and語句成立，也就說明sql漏洞存在，攻擊者不知道會拼接什么樣的壞心思...

盲注高級技巧Timing Attack 利用數據庫自身函數的的執行造成的返回變化來判斷漏洞是否存在，比如 MySQL BENCHMARK（）函數。

 

數據庫攻擊機巧

常見Payload

SQL注入可以猜解出數據庫的對應版本，比如下面這段Payload，如果MySQL的版本是4，則會返回true。

http://www.site.com/news.php?id=5 and substring(@@version,1,1)=4

下面這段Payload，則是利用union select來分別確認表名admin是否存在，列名passwd是否存在：

id=5 union all select 1,2,3 from admin

id=5 union all select 1,2,passwd from admin

進一步，想要猜解出username和password具體的值，可以通過判斷字符的范圍，一步步讀出來。

id=5 and ascii(substring((select concat(username,0x3a,passwd) from users limit 0,1),1,1))>64

這個過程非常的繁瑣，所以非常有必要使用一個自動化工具來幫助完成整個過程。

sqlmap.py就是一個非常好的自動化注入工具。

在注入攻擊的過程中，常常會用到一些讀寫文件的技巧。比如在MySQL中，就可以通過LOAD_FILE()讀取系統文件，並通過INTO  DUMPFILE寫入本地文件。當然這要求當前數據庫用戶有讀寫系統相應文件或目錄的權限。

命令執行

在MySQL中，除了可以通過導出webshell間接地執行命令外，還可以利用“用戶自定義函數”的技巧，即UDF（user-defined functions）來執行命令。

攻擊存儲過程

一些存儲過程也是對攻擊過程有幫助的，比如：SQL Server 中的xp_cmdshell,注入時可以利用其執行系統命令。存儲過程本省也可能給存在注入漏洞。

編碼問題

有時候不同的字符編碼也可能導致注入漏洞的出現，比如 轉義符 ‘\’ 可能會因為字符編碼的不同被省略掉，保證數據庫，操作系統，web應用的字符編碼統一可以避免此類問題。

 

防御SQL注入

使用預編譯語句

一般來說，防御sql注入的最佳方式就是使用預編譯語句，綁定變量。使用預編譯的sql語句，語句的語義不會發生改變。在sql中變量用？表示，攻擊者無法改變sql的結構，比如下面PHP綁定變量，使用預編譯語句的示例：

1 $sql = "insert into usertable (username,password,phone) value(?,?,?)";
2 $stmt = $mysqli->prepare($sql); 3 $stmt = bind_parm("sss",$username,$password,$phone); 4 $username = 'Tom'; 5 $password = md5('123456'); 6 $phone = '13510345678'; 7 $stmt->execute();

此時就算攻擊者插入類似於 Tom’ or ''='1的字符串，也只會將其當做username來插入，不會改變語句的執行。

檢查數據類型

對輸入數據的數據類型進行檢查，可以很大程度上對抗sql注入，比如整形integer，亦或是郵箱，時間日期等特定格式數據。

使用安全函數

使用足夠安全的編碼函數，比如：ESAPI.encoder().encodeForSQL( new OracleCodec(), queryparam );

Codec ORACLE_CODEC = new OracleCodec();
String query = "SELECT user_id FROM user_data WHERE user_name = '" + ESAPI.encoder().encodeForSQL( ORACLE_CODEC , req.getParameter("userID")) + "' and  user_password = '" +  ESAPI.encoder().encodeForSQL( ORACLE_CODE , req.getParameter("pwd")) +"'";

最小權限及關閉錯誤回顯

關閉服務器錯誤回顯，避免數據庫信息的暴露，數據庫使用最小權限原則，避免root等高級賬號在web應用中的直接使用，數據庫賬號不應該有創建自定義函數，操作本地文件等權限。

 

 

XML注入

$doc = new DOMDocument('1.0','utf-8');
$doc -> formatOutput = true; $user = $doc -> createElement('user'); $username = $doc -> createElement('username'); $namevalue = $doc -> createTextNode($_POST['username']); $username -> appendChild($namevalue);//將標簽內容賦給標簽 $user -> appendChild($username); $doc -> appendChild($user); $doc -> save("user.xml");

正常情況下用戶輸入 Tom將保存下面xml文件

<?xml version="1.0" encoding="utf-8"?>
<user>
    <username>Tom</username>
</user>

但是如果用戶輸入惡意數據

Tom</username></user><user><username>Jack</username></user>

此時xml文件

<?xml version="1.0" encoding="utf-8"?>
<user>
    <username>Tom</username>
</user>
<user>
    <username>Jack</username>
</user>

這就是XML注入。XML注入，可以對用戶輸入數據中的包含”語言本身的保留字符“行進轉義即可。

 

代碼注入

代碼注入與命令注入都是由一些不安全函數或方法引起的如：eval()

$var = 'varname';
$k = $_GET['tag']; eval("/$var = $k;");

攻擊者可以通過下面Payload實施代碼注入：

/indexPHP？tag=1;phpinfo()

又比如 system()這個函數，可以通過代碼注入導致命令注入

$error =system('cat '.$_GET['page_id'],$return_var);
echo $error;

攻擊者通過 index.php?page_id=loquesea;ls利用system函數執行自己想要的系統命令。

 

防御對抗代碼注入，命令注入，需要禁用一些像eval(),system()等可以執行系統命令的函數，非要用到就需要對用戶輸入的數據做處理，此外PHP中動態include遠程文件，也是能避免就避免。

 

CRLF（\r\n）注入

CRLF其實是兩個字符\n\r,常常被用作語義之間的分隔符，因此CRLF注入很可能改變原有的語義，如下

$log = fopen("login.log", "w");
$txt = "user login failed for: \n"; fwrite($log, $txt); fclose($log);

正常情況會記錄如下在login.log日志文件中，

user login failed for :user1
user login failed for :user2

但是因為沒有對換行 \n做處理，當攻擊者輸入 user2\nuser2 login succeeded for :user2 

日志中結果就會變為

user login failed for :user1
user login failed for :user2 user login succeeded for :user2

多了一條偽記錄，user2並沒有登錄成功。

CRLF注入不僅僅可以log注入,凡是利用CRLF作為分隔符的地方都可能存在這樣的注入，像是”注入HTTP頭“等。

對抗CRLF注入其實只需要處理好 \r \n這兩個保留字符即可。

 

寫在最后：注入攻擊主要是違背了數據與代碼分離原則導致的，其先決條件是用戶能控制數據輸入，並且代碼拼接了用戶輸入的數據，把數據也打個代碼執行了。所以，防御遵從數據域代碼分離原則，在拼接的地方做好安全檢查和處理就能避免此類問題了。