軟件測試開發技術SQL Server應用程序中的高級SQL注入

　O'Brien

　　從一個安全的觀點來看，最好的解答是但引號不允許存在是一個簡單的事實。如果這是無法接受的話，他們仍然要被過濾;在這種情況下，保證所有進入SQL查詢的數據都是正確的是最好的方法。

　　如果攻擊者不使用任何應用程序莫名其妙地往系統中插入數據，這種方式的攻擊也是可能的。應用程序可能有email接口，或者可能在數據庫中可以存儲錯誤日志，這樣攻擊者可以努力控制它。驗證所有數據，包括數據庫中已經存在的數據始終是個好的方法。確認函數將被簡單地調用，例如:

　　if(not isValid("email",request.querystring("email"))) then

　　response.end

　　或者類似的方法。

　　[長度限制]

　　為了給攻擊者更多的困難，有時輸入數據的長度是被限制的。當這個阻礙了攻擊時，一個小的SQL可以造成很嚴重的危害。例如:

　　Username:';shutdown—

　　這樣只用12個輸入字符就將停止SQL SERVER實例。另一個例子是:

　　drop table

　　如果限定長度是在過濾字符串后應用將會引發另一個問題。假設用戶名被限定16個字符，密碼也被限定16個字符，那么下面的用戶名和密碼結合將會執行上面提到的shutdown命令:

　　Username:aaaaaaaaaaaaaaa'

　　Password:'; shutdown—

　　原因是應用程序嘗試去過濾用戶名最后的單引號，但是字符串被切斷成16個字符，刪除了過濾后的一個單引號。這樣的結果就是如果密碼字段以單引號開始，它可以包含一些SQL語句。既然這樣查詢看上去是:

　　select * from users where username='aaaaaaaaaaaaaaa'' and password=''';shutdown—

　　實際上，查詢中的用戶名已經變為:

　　aaaaaaaaaaaaaaa' and password='

　　因此最后的SQL語句會被執行。

　　[審計]

　　SQL SERVER包含了豐富的允許記錄數據庫中的各種事件的審計接口，它包含在sp_traceXXX類的函數中。特別有意思的是能夠記錄所有SQL語句，然后在服務器上執行的T-SQL的事件。如果這種審計是被激活的，我們討論的所有注入的SQL查詢都將被記錄在數據庫中，一個熟練的數據庫管理員將能夠知道發生了什么事。不幸地，如果攻擊者追加以下字符串:

文章來源于領測軟件測試網 http://www.kjueaiud.com/