技术分享 | “SQL注入攻击”的分析和取证-轻识

SQL注入概述

什么是SQL注入攻击

SQL注入攻击是一种常见的网络攻击方式，它曾多次入选“OWASP TOP 10”，被视为最为严重的安全风险之一。攻击者利用Web应用程序在处理用户输入时未能充分过滤或处理特殊字符，在应用程序的数据库查询中插入或“注入”恶意的SQL代码。

SQL注入的方式

● 表单提交，这是最常见的一种情况，主要出现在POST请求中，也会出现在GET请求中；

● URL参数提交，主要出现在GET请求的参数中；

● Cookie参数提交；

● HTTP请求头部的一些可修改的值，比如Referer、User_Agent等；

● 一些边缘的输入点，比如.mp3文件的一些文件信息等。

SQL注入流程

通常SQL注入时的大致流程如下：

① 信息收集；

② 探测注入点（判断是否存在SQL注入漏洞）；

③ 确定注入类型；

④ 获取数据库结构信息；

⑤ 得到管理员权限；

⑥ 利用与清理痕迹。

SQL注入实例

案例一

高校学生信息泄露：某高校的网课系统在实现查询学生课程完成情况的功能时，由于代码未采用参数化查询，导致出现SQL注入漏洞。攻击者通过构造特殊的请求，不仅能够查询到所有学生的课程信息，甚至可以获取数据库的版本号、数据库名，以及数据库中所有表的信息。

案例二

医疗机构信息泄漏：某综合医疗服务的医疗机构的在线预约系统由于系统未能正确过滤或转义输入数据，攻击者利用SQL注入漏洞提取了数据库中的敏感信息，包括：姓名、联系方式、地址、身份证号、诊断记录、治疗过程、药物处方等信息。

SQL注入取证

在SQL注入取证时，需要注意从日志排查和代码层面审查。

1． 日志排查

①识别可疑请求，查找包含SQL关键字(SELECT，UNION，INSERT等)的异常请求，寻找特殊字符(%27，%22特殊字符含义等)的使用，检查长度异常的参数值；②关注短时间内大量相似请求检查请求的IP地址和地理位置分布；③关注异常的HTTP响应状态码、分析错误消息中可能泄露的信息；④关联与应用服务器、数据库服务器日志对比，检查是否有其他异常活动；⑤追踪攻击者，尝试从日志中提取攻击者的IP地址、访问时间、访问路径等信息。

2． 代码审查

在SQL注入取证中代码审查也是非常重要的，通过审查应用程序的代码，特别是处理用户输入和数据库查询的部分，查找代码中可能存在的SQL注入漏洞，比如直接将用户输入拼接到SQL语句的情况、是否存在动态构建的SQL语句，是否正确使用框架，如果框架使用不当也会造成SQL注入。

以下是一个简单的Java例子，用于说明如何通过回顾应用程序的代码来查找可能存在的SQL注入漏洞。假设有一个应用程序，它允许用户通过输入用户名来查询用户信息。以下是一个存在SQL注入漏洞的代码示例：

import java.sql.*;public class VulnerableCodeExample {public static void main(String[] args) {// 假设这是从用户那里获取的不安全输入String username = "admin' OR '1'='1";// 拼接SQL查询语句String query = "SELECT * FROM users WHERE username = '" + username + "'";
try (Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "user", "password"); Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery(query)) {
// 处理查询结果 while (rs.next()) {System.out.println("User found: " + rs.getString("username"));}}catch (SQLException e) { e.printStackTrace(); }}}