- Login
帳號:
密碼:
ASP MENU
線上教學
   ASP 教學
VB.NET 教學
JSP 教學
JAVA 教學
完整 ASP 教學
程式下載
   ASP 程式下載
提供 ASP 程式
程式量身訂做
   收費標準
填寫需求表
討論交流專區
   程式討論區
電腦資訊交流
工作機會
   社會人就職情報
汎亞人力銀行
大台中人力銀行
大高雄人力銀行
相關連結
   ASP 虛擬空間
ASP 相關網站
聯絡我們
   意見信箱
加入會員程式討論區線上購物回首頁
ASP 教學
ASP漏洞全接触-入門篇

隨著B/S模式應用開發的發展,使用這種模式編寫應用程序的程序員也越來越多。但是由於這個行業的入門門檻不高,程序員的水平及經驗也參差不齊,相當大一部分程序員在編寫代碼的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程序存在安全隱患。使用者可以提交一段資料庫查詢代碼,根據程序返回的結果,獲得某些他想得知的資料,這就是所謂的SQL Injection,即SQL注入。

  SQL注入是從正常的WWW連接埠訪問,而且表面看起來跟一般的Web頁面訪問沒什麼區別,所以目前市面的防火棖ㄓㄦ|對SQL注入發出警報,如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發覺。

  但是,SQL注入的手法相當靈活,在注入的時候會碰到很多意外的情況。能不能根據具體情況進行分析,構造巧妙的SQL語句,從而成功獲取想要的資料,是高手與“菜鳥”的根本區別。

  根據國情,國內的網站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不足10%。在本文,我們從分入門、進階至高級講解一下ASP注入的方法及技巧,PHP注入的文章由NB聯盟的另一位朋友zwell撰寫,希望對安全工作者和程序員都有用處。了解ASP注入的朋友也請不要跳過入門篇,因為部分人對注入的基本判斷方法還存在誤區。大家準備好了嗎?Lets Go...

  入 門 篇

  如果你以前沒試過SQL注入的話,那麼第一步先把IE功能表=>工具=>Internet選項=>高級=>顯示友好 HTTP 錯誤資訊前面的勾去掉。否則,不論服務器返回什麼錯誤,IE都只顯示為HTTP 500服務器錯誤,不能獲得更多的提示資訊。

  第一節、SQL注入原理

  以下我們從一個網站www.19cn.com開始(注:本文發表前已征得該站站長同意,大部分都是真實資料)。

  在網站首頁上,有名為“IE不能打開新視窗的多種解決方法”的連結,地址為http://www.19cn.com/showdetail.asp?id=49,我們在這個地址后面加上單引號’,服務器會返回下面的錯誤提示:

  Microsoft JET Database Engine 錯誤 80040e14

  字符串的語法錯誤 在查詢表達式 ID=49 中。

  /showdetail.asp,行8

  從這個錯誤提示我們能看出下面幾點:

  1. 網站使用的是Access資料庫,通過JET引擎連接資料庫,而不是通過ODBC。

  2. 程序沒有判斷客戶端提交的資料是否符合程序要求。

  3. 該SQL語句所查詢的表中有一名為ID的字段。


  從上面的例子我們可以知道,SQL注入的原理,就是從客戶端提交特殊的代碼,從而收集程序及服務器的資訊,從而獲取你想到得到的資料

第二節、判斷能否進行SQL注入

  看完第一節,有一些人會覺得:我也是經常這樣測試能否注入的,這不是很簡單嗎?

  其實,這並不是最好的方法,為什麼呢?

  首先,不一定每台服務器的IIS都返回具體錯誤提示給客戶端,如果程序中加了cint(參數)之類語句的話,SQL注入是不會成功的,但服務器同樣會報錯,具體提示資訊為處理URL時服務器上出錯。請和系統管理員聯絡。

  其次,部分對SQL注入有一點了解的程序員,認為只要把單引號過濾掉就安全了,這種情況不為少數,如果你用單引號測試,是測不到注入點的

  那麼,什麼樣的測試方法才是比較準確呢?答案如下:

  ①http://www.19cn.com/showdetail.asp?id=49

  ②http://www.19cn.com/showdetail.asp?id=49 ;;and 1=1

  ③http://www.19cn.com/showdetail.asp?id=49 ;;and 1=2

  這就是經典的1=1、1=2測試法了,怎麼判斷呢?看看上面三個網址返回的結果就知道了:

  可以注入的表現:

  ① 正常顯示(這是必然的,不然就是程序有錯誤了)

  ② 正常顯示,內容基本與①相同

  ③ 提示BOF或EOF(程序沒做任何判斷時)、或提示找不到記錄(判斷了rs.eof時)、或顯示內容為空(程序加了on error resume next)

  不可以注入就比較容易判斷了,①同樣正常顯示,②和③一般都會有程序定義的錯誤提示,或提示類型轉換時出錯。

  當然,這只是傳入參數是數字型的時候用的判斷方法,實際應用的時候會有字符型和搜索型參數,我將在中級篇的“SQL注入一般步驟”再做分析

第三節、判斷資料庫類型及注入方法

  不同的資料庫的函數、注入方法都是有差異的,所以在注入之前,我們還要判斷一下資料庫的類型。一般ASP最常搭配的資料庫是Access和SQLServer,網上超過99%的網站都是其中之一。

  怎麼讓程序告訴你它使用的什麼資料庫呢?來看看:

  SQLServer有一些系統變量,如果服務器IIS提示沒關閉,並且SQLServer返回錯誤提示的話,那可以直接從出錯資訊獲取,方法如下:

  http://www.19cn.com/showdetail.asp?id=49 ;;and user>0

  這句語句很簡單,但卻包含了SQLServer特有注入方法的精髓,我自己也是在一次無意的測試中發現這種效率極高的猜解方法。讓我看來看看它的含義:首先,前面的語句是正常的,重點在and user>0,我們知道,user是SQLServer的一個內置變量,它的值是當前連接的使用者名,類型為nvarchar。拿一個nvarchar的值跟int的數0比較,系統會先試圖將nvarchar的值轉成int型,當然,轉的過程中肯定會出錯,SQLServer的出錯提示是:將nvarchar值 ”abc” 轉換資料類型為 int 的列時發生語法錯誤,呵呵,abc正是變量user的值,這樣,不廢吹灰之力就拿到了資料庫的使用者名。在以后的篇幅里,大家會看到很多用這種方法的語句。

  順便說幾句,眾所周知,SQLServer的使用者sa是個等同Adminstrators權限的角色,拿到了sa權限,幾乎肯定可以拿到主電腦的Administrator了。上面的方法可以很方便的測試出是否是用sa登錄,要注意的是:如果是sa登錄,提示是將”dbo”轉換成int的列發生錯誤,而不是”sa”。

  如果服務器IIS不允許返回錯誤提示,那怎麼判斷資料庫類型呢?我們可以從Access和SQLServer和區別入手,Access和SQLServer都有自己的系統表,比如存放資料庫中所有對象的表,Access是在系統表[msysobjects]中,但在Web環境下讀該表會提示“沒有權限”,SQLServer是在表[sysobjects]中,在Web環境下可正常讀取。

  在確認可以注入的情況下,使用下面的語句:

  http://www.19cn.com/showdetail.asp?id=49 ;;and (select count(*) from sysobjects)>0

  http://www.19cn.com/showdetail.asp?id=49 ;;and (select count(*) from msysobjects)>0

  如果資料庫是SQLServer,那麼第一個網址的頁面與原頁http://www.19cn.com/showdetail.asp?id=49是大致相同的;而第二個網址,由於找不到表msysobjects,會提示出錯,就算程序有容錯處理,頁面也與原頁面完全不同。

  如果資料庫用的是Access,那麼情況就有所不同,第一個網址的頁面與原頁面完全不同;第二個網址,則視乎資料庫設置是否允許讀該系統表,一般來說是不允許的,所以與原網址也是完全不同。大多數情況下,用第一個網址就可以得知系統所用的資料庫類型,第二個網址只作為開啟IIS錯誤提示時的驗證




頂端
本網頁最佳瀏覽模式為:瀏覽器 IE4.0 以上    解析度: 800 x 600
Copyright © 2000-2017 COOLASP All Rights Reserved