质量小议35 -- SQL注入

news2024/11/17 10:45:30

    已经记不得上次用到SQL注入是什么时候了,一些概念和操作已经模糊。
    最近与人聊起SQL注入,重新翻阅,暂记于此。

    重点:敏感信息、权限过大、未脱敏的输入/输出、协议、框架、数据包、明文、安全意识

  1. SQL
    - Structured Query Language,结构化查询语言
    - 数据库操作指令集,包括了所有对数据库的操作
    - 数据定义、数据操纵、数据查询、数据控制、事务控制以及嵌入式SQL语言的使用规定组成。
      * 数据定义,DDL,定义数据库的逻辑结构(数据库、基本表、视图、索引)
      * 数据操纵,DML,包括插入(insert)、删除(delete)、更新(update)操作
      * 数据查询,DQL,包括数据查询(select)操作
    ,CRUD:增加(Create)、读取(Read)、更新(Update)、删除(Delete)
      * 数据控制,DCL,用户访问数据的控制赋权和回收
      * 事务控制,TCL,事务的提交与回滚
  2. 什么是SQL注入
    - SQL注入,SQL Injection
    - SQL 注入是一种常见的安全漏洞,是一种网络安全攻击方式
    - 出现在数据库交互应用程序中,来自系统操作者非法的数据库输入
    - 将非授权的/恶意的SQL代码加入到应用程序SQL操作中,形成非授权的SQL操作
    - 执行未经授权的数据库操作(分析/查询/删除/更新)
    - 导致数据库信息泄漏、丢失,造成客户信息被非法使用
  3. SQL注入的危害
    目的:获取非正当利益,损害客户正当收益
    - 数据泄露,绕过/猜解系统身份验证,非法获取客户数据库信息(敏感信息)
    - 数据篡改,更改或破坏客户数据库信息存储
    - 数据攻击,清除数据库数据或永久的删除数据库存储结构
  4. SQL注入存在的可能性
    重要:系统开发者安全意识不强,造成SQL注入的安全漏洞存在
    - SQL组装过程中暴露了系统敏感信息接口
    - 系统未对用户输入进行安全校验
    - 使用动态拼装sql,参数以明文形式(未做加密)出现在URL链接中
    - 未做权限限制,使用管理员权限(权限大,未分级)作为应用程序数据库连接
    - 应用系统传输和显示信息未加密、未脱敏,特别是重要的用户、权限信息
    - 应用程序异常信息未经过滤,使用后台(服务器/数据库)返回值,错误提示过分精确
  5. 数据传输交互过程

    - 数据由输入起,经业务逻辑处理后,到数据库获取 合理 数据
    - 输入包括:前台页面输入、选择,触发数据查询、更新、删除操作;后台未经处理的代码信息,页面源代码展示
    - 数据包括:正常过程数据 和 异常系统访问数据
    - 数据SQL注入安全过滤
      * 按程序设计要求,数据输入、业务逻辑、数据访问都应对数据获取的权限、合法性、合理性进行控制和处理
      * 返回数据同样需经过加密或脱敏处理后才会被传送并显示给用户
      * 每个阶段对数据的安全性处理会有交集和重叠,但不允许出现缺失
  6. SQL注入方式
    重点:将外部输入 与 系统数据处理SQL结合,构成新的SQL,以“欺骗”数据库,获取非法/正常不可得的数据
    - 输入类型:数字、字符
    - 布尔,数据处理为真 或 假,以绕过数据库验证
      * 1=1 真   或   1=2 假,and 或 or 构成新SQL形成SQL注入
      * ‘ 和 “ 字符串处理
      * 注释符处理
      * 通配符处理:* % ? $(不同类型数据库会有不同)
      * 模糊查询:like, in, exit......
      * union 合并新的SQL到系统SQL
    - 试错或盲注(通过输入后系统返回错误提示对数据库数据结构和存储进行猜测)
      * 注动试错引发数据库错误,利用系统异常返回值对数据库进行猜测
      * 数据库查询函数
        > 表的列数: .... order by 1(替换不同数字,得到真假分界限)
        > left / right / length(列名)=4(替换不同数字,得到真假分界限)
  7. 如何避免SQL注入
    重点:破坏 / 避免新的输入 与 系统SQL构成有效的、可执行的新SQL,加密,避免明文SQL
    - 特殊字符处理:使用正则表达式对数据保留字符进行处理,如 特殊字符(',"),通配符(* % ? $),系统函数(like,union,in,length)
    - 参数化数据输入:数据输入后,经put / get / post处理,需增加转译或加密处理,通过占位符形式避免真正的输入做为参数直接被SQL引用,特别是以明文形式展现给系统操作者
    - 输入验证:前台UI、业务逻辑、数据库存取,各数据处理阶段分别、独立的对输入数据进行有效性、安全性验证,通过层层过滤增强SQL数据处理的安全性
    - 减少手动拼接SQL:使用数据处理框架(ORM关系映射,如hibernate)、存储过程,将数据集中处理、打包后处理及返回结果
    - 权限最小化:避免数据库管理员帐号在系统应用的直接使用,将数据增、删、改、查分配给不同的系统用户提供给系统接口调用
    - 安全扫描:开发者的代码安全意识,安全扫描以对代码进行全面安全测试
  8. SQL注入代码示例
    这个。。。后续有时间再研究后补充
    - 对SQL注入的了解只是皮毛
    - 对SQL注入的开发和测试已经是很久之前的事情,并不深入
    - 安全扫描工具的强大,使得代码安全错误可以按扫描方案进行更新
    - 安全从架构、设计开始。。。有编码的安全规范,使用成形框架,安全意识真的弱
    - 代码安全是个大问题,却被忽视

select * from users wher username = 'test'
select * from users wher username = 'test' or 1=1 order by 3

参考

  • SQL 注入 - SQL Server | Microsoft Learn
  • sql注入 - 知乎
  • Sql注入基础原理介绍 - 知乎
  • 安全测试 | SQL注入(SQL Injection)技术 - 知乎

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1283804.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

实战技巧:为Android应用设置独立的多语言

原文链接 实战技巧:为Android应用设置独立的多语言 通常情况下多语言的设置都在系统设置中,应用需要做的就是提供本应用所使用的字串的多语言翻译,使用时使用R.string.app_name类似的引用,然后系统会根据用户在系统设置中的选项来…

Kubernetes存储搭建NFS挂载失败处理

搞NFS存储时候发现如下问题: Events:Type Reason Age From Message---- ------ ---- ---- -------Normal Scheduled 5m1s default-scheduler Successful…

【hacker送书第8期】Java从入门到精通(第7版)

第8期图书推荐 内容简介编辑推荐作者简介图书目录参与方式 内容简介 《Java从入门到精通(第7版)》从初学者角度出发,通过通俗易懂的语言、丰富多彩的实例,详细讲解了使用Java语言进行程序开发需要掌握的知识。全书分为4篇共24章&a…

玩转大数据5:构建可扩展的大数据架构

1. 引言 随着数字化时代的到来,大数据已经成为企业、组织和个人关注的焦点。大数据架构作为大数据应用的核心组成部分,对于企业的数字化转型和信息化建设至关重要。我们将探讨大数据架构的基本要素和原则,以及Java在大数据架构中的角色&…

智能优化算法(二):禁忌搜索算法

文章目录 禁忌搜索算法1.禁忌搜索算法预备知识1.1 预备知识1---解空间1.2.预备知识2---邻域 2.禁忌搜索算法实现过程2.1.禁忌搜索算法思想2.2.禁忌搜索构成要素2.2.1.搜索结果表达2.2.2.邻域移动策略2.2.3.禁忌表引入2.2.4.禁忌搜索选择策略2.2.5.禁忌搜索渴望水平2.2.6.禁忌搜…

UEC++ 探索虚幻5笔记 day11

虚幻5.2.1探索 项目目录探索 C工程一定不能是中文路径,中文项目名,最好全部不要用中文,蓝图项目可以是中文浅浅创建一个空项目,讲解一下之前UE4没有讲解的项目目录文件的分布组成 .vs:文件夹一般是项目编译缓存文件夹…

Deployment脚本部署Tomcat集群:外部访问、负载均衡、文件共享及集群配置调整

文章目录 前置知识一、Deployment脚本部署Tomcat集群二、外部访问Tomcat集群三、利用Rinted对外提供Service负载均衡支持1、创建服务2、端口转发工具Rinetd3、定义jsp文件查看转发到哪个节点 四、部署配置挂载点五、基于NFS实现集群文件共享1、master2、node3、验证 六、集群配…

ESP32-Web-Server编程-通过 Web 下载文本

ESP32-Web-Server编程-通过 Web 下载文本 概述 当你希望通过网页导出设备的数据时,可以在 ESP32 上部署一个简单的文件 Web 服务器。 需求及功能解析 本节演示如何在 ESP32 上部署一个最简单的 Web 服务器,来接收浏览器或者 wget 指令请求文件数据。…

Course2-Week2-神经网络的训练方法

Course2-Week2-神经网络的训练方法 文章目录 Course2-Week2-神经网络的训练方法1. 神经网络的编译和训练1.1 TensorFlow实现1.2 损失函数和代价函数的数学公式 2. 其他的激活函数2.1 Sigmoid激活函数的替代方案2.2 如何选择激活函数2.3 为什么需要激活函数 3. 多分类问题和Soft…

时间序列数据压缩算法简述

本文简单介绍了时间序列压缩任务的来源,压缩算法的分类,并对常见压缩算法的优缺点进行了简介,爱码士们快来一探究竟呀! 引言 时间序列数据是在许多应用程序和领域中生成的一种基本数据类型,例如金融、医疗保健、交通和…

智能优化算法应用:基于阿基米德优化算法无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用:基于阿基米德优化算法无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用:基于阿基米德优化算法无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.阿基米德优化算法4.实验参数设定5.算…

4.grid_sample理解与使用

pytorch中的grid_sample 文章目录 pytorch中的grid_samplegrid_samplegrid_sample函数原型实例 欢迎访问个人网络日志🌹🌹知行空间🌹🌹 grid_sample 直译为网格采样,给定一个mask patch,根据在目标图像上的…

抖音集团面试挂在2面,复盘后,决定二战.....

先说下我基本情况,本科不是计算机专业,现在是学通信,然后做图像处理,可能面试官看我不是科班出身没有问太多计算机相关的问题,因为第一次找工作,字节的游戏专场又是最早开始的,就投递了&#xf…

GEE——利用多源遥感数据和SVM方法进行不同时期(多时相)遥感影像的分类

简介: 本教程主要的目的是实现多起遥感影像的分类,这里使用两景应先给,融合了多波段影像,其次还包含去除水域和根据NDSI指数去除雪的部分。我们分别利用不同时期的影像进行分析分别分类,这里利用的是提取样本点,然后进行SVM分布。 数据集 这里我们使用的数据集: NASA…

ODN光纤链路全程衰减如何计算

在FTTH等宽带光纤接入工程设计中,需根据应用系统的相应波长计算ODN光纤链路的全程衰减,一方面验证是否满足系统的光功率预算指标要求,另一方面作为工程验收的参考指标。 1 计算方法 ODN光纤链路的全程衰减是指从OLT至ONU的光纤链路中&#xf…

Learning Normal Dynamics in Videos with Meta Prototype Network 论文阅读

文章信息:发表在cvpr2021 原文链接: Learning Normal Dynamics in Videos with Meta Prototype Network 摘要1.介绍2.相关工作3.方法3.1. Dynamic Prototype Unit3.2. 视频异常检测的目标函数3.3. 少样本视频异常检测中的元学习 4.实验5.总结代码复现&a…

C#网络编程UDP程序设计(UdpClient类)

目录 一、UdpClient类 二、示例 1.源码 (1)Client (2)Server 2.生成 (1)先启动服务器,发送广播信息 (2)再开启客户端接听 UDP是user datagram protocol的简称&a…

Star 10.4k!推荐一款国产跨平台、轻量级的文本编辑器,内置代码对比功能

notepad 相信大家从学习这一行就开始用了,它是开发者/互联网行业的上班族使用率最高的一款轻量级文本编辑器。但是它只能在Windows上进行使用,而且正常来说是收费的(虽然用的是pj的)。 对于想在MacOS、Linux上想使用,…

EM32DX-C2【C#】

1说明: 分布式io,CAN总线,C#上位机二次开发(usb转CAN模块) 2DI: 公共端是: 0V【GND】 X0~X15:自带24v 寄存器地址:0x6100-01 6100H DI输入寄存器 16-bit &#x…

鸿蒙系统扫盲(四):鸿蒙使用的是微内核?

我们常说,看一个系统是不是自研,就看它的内核,常见的内核分为:宏内核和微内核,当然还有两者结合体,他们到底有什么区别? 1.白话宏内核和微内核 有一天,你结婚了,你和你…