軟件測試開發技術SQL注入攻擊的種類和防范手段

　4.盲目SQL注入式攻擊

　　當一個Web應用程序易于遭受攻擊而其結果對攻擊者卻不見時，就會發生所謂的盲目SQL注入式攻擊。有漏洞的網頁可能并不會顯示數據，而是根據注入到合法語句中的邏輯語句的結果顯示不同的內容。這種攻擊相當耗時，因為必須為每一個獲得的字節而精心構造一個新的語句。但是一旦漏洞的位置和目標信息的位置被確立以后，一種稱為Absinthe的工具就可以使這種攻擊自動化。

　　5.條件響應

　　注意，有一種SQL注入迫使數據庫在一個普通的應用程序屏幕上計算一個邏輯語句的值：

　　SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd' AND 1=1

　　這會導致一個標準的面面，而語句

　　SELECT booktitle FROM booklist WHERE bookId = 'OOk14cd' AND 1=2在頁面易于受到SQL注入式攻擊時，它有可能給出一個不同的結果。如此這般的一次注入將會證明盲目的SQL注入是可能的，它會使攻擊者根據另外一個表中的某字段內容設計可以評判真偽的語句。

　　6.條件性差錯

　　如果WHERE語句為真，這種類型的盲目SQL注入會迫使數據庫評判一個引起錯誤的語句，從而導致一個SQL錯誤。例如：

　　SELECT 1/0 FROM users WHERE username='Ralph'。顯然，如果用戶Ralph存在的話，被零除將導致錯誤。

　　7.時間延誤

　　時間延誤是一種盲目的SQL注入，根據所注入的邏輯，它可以導致SQL引擎執行一個長隊列或者是一個時間延誤語句。攻擊者可以衡量頁面加載的時間，從而決定所注入的語句是否為真。

　　以上僅是對SQL攻擊的粗略分類。但從技術上講，如今的SQL注入攻擊者們在如何找出有漏洞的網站方面更加聰明，也更加全面了。出現了一些新型的SQL攻擊手段。黑客們可以使用各種工具來加速漏洞的利用過程。我們不妨看看the Asprox Trojan這種木馬，它主要通過一個發布郵件的僵尸網絡來傳播，其整個工作過程可以這樣描述：首先，通過受到控制的主機發送的垃圾郵件將此木馬安裝到電腦上，然后，受到此木馬感染的電腦會下載一段二進制代碼，在其啟動時，它會使用搜索引擎搜索用微軟的ASP技術建立表單的、有漏洞的網站。搜索的結果就成為SQL注入攻擊的靶子清單。接著，這個木馬會向這些站點發動SQL注入式攻擊，使有些網站受到控制、破壞。訪問這些受到控制和破壞的網站的用戶將會受到欺騙，從另外一個站點下載一段惡意的JavaScript代碼。最后，這段代碼將用戶指引到第三個站點，這里有更多的惡意軟件，如竊取口令的木馬。

　　以前，我們經常警告或建議Web應用程序的程序員們對其代碼進行測試并打補丁，雖然SQL注入漏洞被發現和利用的機率并不太高。但近來攻擊者們越來越多地發現并惡意地利用這些漏洞。因此，在部署其軟件之前，開發人員應當更加主動地測試其代碼，并在新的漏洞出現后立即對代碼打補丁。

　　防御和檢查SQL注入的手段

　　1.使用參數化的過濾性語句

　　要防御SQL注入，用戶的輸入就絕對不能直接被嵌入到SQL語句中。恰恰相反，用戶的輸入必須進行過濾，或者使用參數化的語句。參數化的語句使用參數而不是將用戶輸入嵌入到語句中。在多數情況中，SQL語句就得以修正。然后，用戶輸入就被限于一個參數。下面是一個使用Java和JDBC API例子：

　　PreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE PASSWORD=?");

　　prep.setString(1, pwd);

　　總體上講，有兩種方法可以保證應用程序不易受到SQL注入的攻擊，一是使用代碼復查，二是強迫使用參數化語句的。強迫使用參數化的語句意味著嵌入用戶輸入的SQL語句在運行時將被拒絕。不過，目前支持這種特性的并不多。如H2 數據庫引擎就支持。

　　2.還要避免使用解釋程序，因為這正是黑客們借以執行非法命令的手段。

　　3.防范SQL注入，還要避免出現一些詳細的錯誤消息，因為黑客們可以利用這些消息。要使用一種標準的輸入確認機制來驗證所有的輸入數據的長度、類型、語句、企業規則等。

　　4.使用專業的漏洞掃描工具。但防御SQL注入攻擊也是不夠的。攻擊者們目前正在自動搜索攻擊目標并實施攻擊。其技術甚至可以輕易地被應用于其它的Web架構中的漏洞。企業應當投資于一些專業的漏洞掃描工具，如大名鼎鼎的Acunetix的Web漏洞掃描程序等。一個完善的漏洞掃描程序不同于網絡掃描程序，它專門查找網站上的SQL注入式漏洞。最新的漏洞掃描程序可以查找最新發現的漏洞。

　　5.最后一點，企業要在Web應用程序開發過程的所有階段實施代碼的安全檢查。首先，要在部署Web應用之前實施安全測試，這種措施的意義比以前更大、更深遠。企業還應當在部署之后用漏洞掃描工具和站點監視工具對網站進行測試。

　　Web安全拉警報已經響起，安全形式異常嚴峻，企業絕對不應當草率從事。安全重于泰山!

文章來源于領測軟件測試網 http://www.kjueaiud.com/