網(wǎng)站和應(yīng)用程序都需要與用戶進(jìn)行交互,這意味著用戶必須有某種輸入數(shù)據(jù)的方式,無(wú)論是網(wǎng)站上的文本框還是應(yīng)用程序中的表單。當(dāng)這種輸入數(shù)據(jù)直接轉(zhuǎn)換為SQL查詢時(shí),允許輸入的程序或網(wǎng)站可能容易受到惡意代碼的攻擊。這稱為SQL注入。
對(duì)于應(yīng)用程序和Web開發(fā)人員以及網(wǎng)絡(luò)和安全專業(yè)人員來(lái)說(shuō),了解SQL注入的工作方式是至關(guān)重要的信息,他們最終可能會(huì)處理不良網(wǎng)站的影響。在本指南中,我將解釋在防止或解決SQL注入時(shí)必須理解的兩個(gè)關(guān)鍵問(wèn)題。
SQL是一種編程語(yǔ)言,旨在管理數(shù)據(jù)庫(kù)中存儲(chǔ)的大量數(shù)據(jù)。它主要用于訪問(wèn),添加,修改和刪除這些數(shù)據(jù)庫(kù)中的數(shù)據(jù)。
當(dāng)網(wǎng)站或應(yīng)用程序的一部分允許用戶輸入直接轉(zhuǎn)換為SQL查詢的信息時(shí),這會(huì)使網(wǎng)站容易受到SQL注入的攻擊。SQL注入是將惡意代碼作為用戶輸入插入的行為,因此一旦注入到系統(tǒng)中并轉(zhuǎn)化為SQL查詢,它將開始執(zhí)行惡意代碼。通常,此代碼的目的是訪問(wèn)數(shù)據(jù)以竊取數(shù)據(jù)(例如用戶憑據(jù))或刪除數(shù)據(jù)(以損害業(yè)務(wù))。如果攻擊者設(shè)法訪問(wèn)數(shù)據(jù)并冒充數(shù)據(jù)庫(kù)管理員,則他們可以使用這些復(fù)制的憑據(jù)來(lái)訪問(wèn)整個(gè)系統(tǒng)。
有幾種不同的SQL注入類型,包括:
帶內(nèi):這種經(jīng)典的SQL注入類型描述了一種攻擊,其中,攻擊者使用相同的通道來(lái)注入攻擊并獲取所需的數(shù)據(jù)結(jié)果。帶內(nèi)攻擊有兩種主要類型,稱為基于錯(cuò)誤的SQL注入和基于聯(lián)合的SQL注入。
基于錯(cuò)誤的SQL注入會(huì)觸發(fā)系統(tǒng)產(chǎn)生錯(cuò)誤,從而建立數(shù)據(jù)庫(kù)外觀的圖片。在開發(fā)數(shù)據(jù)庫(kù)時(shí)以及對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō),錯(cuò)誤是很有用的,但是在實(shí)時(shí)網(wǎng)站或應(yīng)用程序上僅應(yīng)顯示某些錯(cuò)誤和信息。
基于聯(lián)合的SQL注入通過(guò)使用“ UNION”運(yùn)算符使數(shù)據(jù)庫(kù)返回比應(yīng)訪問(wèn)的更多信息來(lái)利用SQL編寫方式中的漏洞。 推論:推論SQL注入,也稱為盲SQL注入,通常需要更長(zhǎng)的時(shí)間才能執(zhí)行。他們不通過(guò)Web應(yīng)用程序傳輸數(shù)據(jù),而是將有效載荷發(fā)送到服務(wù)器,以查看服務(wù)器如何響應(yīng)并使用結(jié)果信息來(lái)推斷有關(guān)數(shù)據(jù)庫(kù)的信息。例如,根據(jù)對(duì)數(shù)據(jù)庫(kù)的查詢返回的是“ true”還是“ false”,它可以發(fā)送查詢以請(qǐng)求立即響應(yīng)或延遲響應(yīng)的時(shí)間響應(yīng)。 帶外:帶外SQL攻擊并不常見,因?yàn)樗鼈兪褂脙蓚€(gè)不同的通道來(lái)發(fā)送攻擊,然后接收結(jié)果。僅當(dāng)在數(shù)據(jù)庫(kù)上啟用了特定功能時(shí),才會(huì)發(fā)生這種情況。 如何防止SQL注入
可以在系統(tǒng)路徑的多個(gè)點(diǎn)上防止SQL注入。
設(shè)計(jì)以防止SQL注入。防止SQL注入的第一種技術(shù)是確保您的應(yīng)用程序設(shè)計(jì)為減少攻擊者可以通過(guò)其注入代碼的表面積。您可以檢測(cè)到暴露過(guò)多表面積以致無(wú)法進(jìn)行攻擊的查詢和接口。 對(duì)漏洞的意識(shí)。無(wú)論您最初編寫代碼的質(zhì)量如何,只要添加或更改代碼,都會(huì)出現(xiàn)新的漏洞。也可以在以前認(rèn)為安全的舊代碼中發(fā)現(xiàn)漏洞。以便您知道任何新問(wèn)題。然后,查看您現(xiàn)有的代碼庫(kù)以檢查漏洞。 工具和軟件。接下來(lái),您還可以使用工具或軟件來(lái)監(jiān)視系統(tǒng)安全性,因此,如果未檢測(cè)到漏洞,該工具將解決任何問(wèn)題。確保已設(shè)置訪問(wèn)警報(bào)和異常檢測(cè)。選擇以下工具之一,以開始保護(hù)您的網(wǎng)絡(luò)免遭SQL注入。
最好的SQL注入預(yù)防工具 安全事件管理器
SolarWinds的®安全事件管理(SEM)是我的正常運(yùn)轉(zhuǎn),你的網(wǎng)絡(luò)是如何表現(xiàn)和標(biāo)記像SQL注入問(wèn)題的眼睛首選。確保快速響應(yīng)SQL注入非常重要,因?yàn)楣粽呖梢钥焖僭L問(wèn)重要的機(jī)密數(shù)據(jù)。
可以將SolarWinds SEM設(shè)置為自動(dòng)響應(yīng)可疑的IP地址,或關(guān)閉行為異常的應(yīng)用程序(突然產(chǎn)生許多錯(cuò)誤)。因此,如果系統(tǒng)受到攻擊,則可以最大程度地減少時(shí)間延遲。它還可以保持文件和USB完整性的標(biāo)簽,并且在某些不正常的情況下可以停止數(shù)據(jù)下載或訪問(wèn)。
