在使用sql语句作为数据库操作方式的系统中,因为程序员处理传入参数不善而导致sql语句功能改变,从而利用这些改变对数据库甚至系统造成信息泄漏、系统破坏的问题成为sql注入。
sql盲注是sql注入的一种,它通过传入特殊参数,配合系统接口的正常、异常状态返回,达到对系统以及数据库信息进行猜测的目的。
举个栗子:
(1)探测到某个接口,内容如下:
http://www.abc.com?a=1&b=2
返回值为
{"state":"1","msg":"Success"}
(2)后台的在执行功能的时候有如下代码
String sql = "select * from tb_test where a = '"+a+"' ";
Statement createStatement = conn.createStatement();
createStatement.executeQuery(sql);
(3)那么攻击者就可以通过传入这样的参数对系统进行试探:
a=1%27;select%20*%20from%20user
也就是a=1';select * from user
(4)这时候后台sql会变成
select * from tb_test where a = '1';select * from user
如果系统中存在user表,返回值为{"state":"1","msg":"Success"}
如果系统中不存在user表,返回值为{"state":"0","msg":"Error"}
攻击者就很容易通过这样的手段对系统进行猜测和破坏(假如没有限制执行的是查询,那么参数弄成delete或者update,就可以为所欲为了……)。
解决方法:
(1)使用PreparedStatement进行sql预编译,用参数化查询的方式处理sql;
(2)限定sql操作范围,比如使用注解@ReadOnly修饰查询服务等;
(3)对输入参数进行严格的格式校验,剔除所有可能的异常值;
(4)使用一些能够处理此类问题的开源框架;
(5)其他可行方法;
扩展学习
盲注手法:
https://www.cnblogs.com/fengh/p/6183928.html
https://www.cnblogs.com/lcamry/p/5763129.html
盲注常用方法:
http://blog.sina.com.cn/s/blog_15e7bc4bb0102wclz.html
逃过appscan盲注的最简单方法:
http://blog.csdn.net/arthurzil/article/details/6863213
appscan误报盲注解决方案:
http://blog.csdn.net/huqingpeng321/article/details/53521616