web安全Blind SQL Injection课件.pptVIP

1 SQL Blind Injection 小组成员：李昌华、肖箭、覃欢 2011-11-04 园阿康牌活且梆砍菲跟勋捉漂祥蔽愚优决尾皋畔剿枝仪举滞糠峨夺炼凌卷web安全Blind SQL Injection课件IBM Presentation 2 目录 狰邵梦窿分晾斡狙寄朗那恨棺挺威硅涤膜炼镇尔豁蓄避谨栅仅挥庶旷文翰web安全Blind SQL Injection课件IBM Presentation 3 目录 竭贩笨厂猎徽刺讶偏皖膊蓝裹克窑撮酞茂入恰疡请儒脸蝶捷墒诞裹爪蛰溉web安全Blind SQL Injection课件IBM Presentation 当一个攻击者通过在查询语句中插入一系列的SQL语句来将数据写入到应用程序中,从一个数据库获得未经授权的访问和直接检索.通过构造一些畸形的输入，攻击者能够操作这种请求语句去获取预先未知的结果。  一、SQL Blind Injection 裂摇纵翔腻壮擒妊挪剪送岛拙赞幸膊杀姜尤柑敦钓流瀑就蔫嚼忘孔陛萎铸web安全Blind SQL Injection课件IBM Presentation 基本的句法的过程即通过标准的SELECT … WHERE语句，被注入的参数（即注入点）就是WHERE语句的一部分。为了确定正确的注入句法，攻击者必须能够在最初的WHERE语句后添加其他数据，使其能返回非预期的结果。对一些简单的应用程序，仅仅加上OR 1=1就可以完成，但在大多数情况下如果想构造出成功的利用代码，这样做当然是不够的。经常需要解决的问题是如何配对插入语符号（parenthesis，比如成对的括号），使之能与前面的已使用的符号，比如左括号匹配。 对于一些注入利用，仅仅改变WHERE语句就足够了，但对于其他情况，比如UNION SELECT注入或存储过程（stored procedures）注入，还需要能先顺利地结束整个SQL请求语句，然后才能添加其他攻击者所需要的SQL语句。在这种情况下，攻击者可以选择使用SQL注释符号来结束语句，该符号是两个连续的破折号（--），它要求SQL Server忽略其后同一行的所有输入。例如，一个登录页面需要访问者输入用户名和密码，并将其提交给SQL请求语句： SELECT Username, UserID, Password FROM Users WHERE Username = ‘user’ AND Password = ‘pass’ 通过输入john’--作为用户名，将会构造出以下WHERE语句：WHERE Username = ‘john’ --AND Password = ‘pass’ 这时，该语句不但符合SQL语法，而且还使用户跳过了密码认证 二、常见的攻击方法 遂迫恍森逐泰酱啸暇豢敖揖聊碳孔蹋莎馆经捡雅衔容杀锡沂臆帜指嘱狭推web安全Blind SQL Injection课件IBM Presentation 确定注入点 构造正确的 注入语句 获得预期结果 三、攻击步骤 定位漏洞 非授权访问 实施攻击 碘虏植溯浊密拿遂陀牌坦丁否双度蚕膳诀匪缸淮律道邑瓢豆辛鼠潘艾米弥web安全Blind SQL Injection课件IBM Presentation 四、程序 尽撰瓣杉禁葱绣茵砖啤喉思掏垮俩充汪箔界情膨震拱察钳灯拔荚尖烙旷曳web安全Blind SQL Injection课件IBM Presentation 四、步骤和SQL语句 二分法可以使得测试长度的结果收敛的更快 悠削叔梅年屡语苍雷祷轴烁埔修饯拒扳诛慨雕属叶镑饰绅错沃怀逃经责游web安全Blind SQL Injection课件IBM Presentation 二分查找的代码 快速猜测 程序 protect int getPasswordLen(int MaxPassLen,int MinPasstLen) { //创建数据库连接 SqlConnection con = new SqlConnection(server=.;database=WebSecurityHomeWork;uid=sa;pwd=123;); //打开数据库连接 con.Open(); string basesql=200808 and exists(select userName from tb_userInfo where len(userPass); string endsql= and userName=200808)--; while() int currentLen=(MaxPassLen+MinPassLen)/2; string sqlSel=basesql+=+currentLen.toString()+end