《web安全BlindSQLInjection》由会员分享,可在线阅读,更多相关《web安全BlindSQLInjection(12页珍藏版)》请在金锄头文库上搜索。
1、1,SQL Blind Injection,小组成员:李昌华、肖箭、覃欢2011-11-04,2,目录,3,目录,当一个攻击者通过在查询语句中插入一系列的SQL语句来将数据写入到应用程序中,从一个数据库获得未经授权的访问和直接检索.通过构造一些畸形的输入,攻击者能够操作这种请求语句去获取预先未知的结果。,一、SQL Blind Injection,基本的句法的过程即通过标准的SELECT WHERE语句,被注入的参数(即注入点)就是WHERE语句的一部分。为了确定正确的注入句法,攻击者必须能够在最初的WHERE语句后添加其他数据,使其能返回非预期的结果。对一些简单的应用程序,仅仅加上OR 1=
2、1就可以完成,但在大多数情况下如果想构造出成功的利用代码,这样做当然是不够的。经常需要解决的问题是如何配对插入语符号(parenthesis,比如成对的括号),使之能与前面的已使用的符号,比如左括号匹配。 对于一些注入利用,仅仅改变WHERE语句就足够了,但对于其他情况,比如UNION SELECT注入或存储过程(stored procedures)注入,还需要能先顺利地结束整个SQL请求语句,然后才能添加其他攻击者所需要的SQL语句。在这种情况下,攻击者可以选择使用SQL注释符号来结束语句,该符号是两个连续的破折号(-),它要求SQL Server忽略其后同一行的所有输入。例如,一个登录页面
3、需要访问者输入用户名和密码,并将其提交给SQL请求语句: SELECT Username, UserID, Password FROM Users WHERE Username = user AND Password = pass 通过输入john-作为用户名,将会构造出以下WHERE语句: WHERE Username = john -AND Password = pass 这时,该语句不但符合SQL语法,而且还使用户跳过了密码认证,二、常见的攻击方法,确定注入点,构造正确的 注入语句,获得预期结果,三、攻击步骤,定位漏洞,非授权访问,实施攻击,四、程序,原始查询语句(网页的源文件) str
4、ing sqlSel = “select count(*) from tb_userInfo where userName=“ + txtUserName.Text + “ and userPass=“+pass+“; 1.猜测账户名:输入任意账户测试 如200808密码非空随便输验证码,2.猜测到手的账户对应的密码长度: 200808 and exists(select userName from tb_userInfo where len(userPass)6 and userName=200808)-密码非空随便输 验证码,3.猜测到手的账户对应的密码(逐位的判断) 200808 and
5、 (select ASCII(SUBSTRING(userPass,1,1) from tb_userInfo where userName=200808) 0)return currentLen;/创建SqlCommand对象SqlCommand com1 = new SqlCommand(sqlSel, con);sqlSel=basesql+“+currentLen.toString()+endsql;if(Convert.ToInt32(com.ExecuteScalar() 0)MinPasstLen=(currentLen+1+MaxPassLen)/2;getPasswordLen(int MaxPassLen,int MinPasstLen);elseMaxPasstLen=(currentLen-1+MinPassLen)/2;getPasswordLen(int MaxPassLen,int MinPasstLen); ,六、总结,12,THANK YOU,
