新型二阶SQL注入技术研究 - 学兔兔 www.bzfxw.com .pdf

第3 6 卷第Z l 期 2 0 1 5 年1 1 月 通信学报 J o u r n a lo nC o m m u n i c a t i o n s 、b 1 3 6N o Z 1 N o v e m b e r2 0 1 5 d o i ：1 0 1 1 9 5 9 j i s s n 1 0 0 0 - 4 3 6 x 2 0 1 5 2 8 5 新型二阶S Q L 注入技术研究 乐德广1 ，李鑫2 ，龚声蓉1 ，郑力新2 ( 1 常熟理工学院计算机科学与工程学院，江苏常熟2 1 5 5 0 0 ：2 华侨大学工学院，福建泉州3 6 2 0 2 1 ) 摘要：面对新的W e b 技术环境，提出了3 种新型二阶S Q L 注入技术：二阶S Q L 盲注、二阶S Q L 注入攻击操 作系统和客户端二阶S Q L 注入。实验测试证明所提出的3 种新型二阶S Q L 注入广泛存在于W e b 应用中，并且 3 种新型二阶注入技术可以实现对服务器和客户端的有效攻击。 关键词：S Q L ；二阶S Q L 注入：盲注；攻击载荷 中图分类号：T P 3 9 3文献标识码：A R e s e a r c ho ns e c o n d - o r d e rS Q L i n j e c t i o nt e c h n i q u e s L ED e g u a n 9 1 ，L IX i n 2 ，G O N GS h e n g r o n 9 1 ，Z H E N GL i x i n 2 ( 1 S e h o l lo f C o m p u t e rS c i e n c e E n g i n e e r i n g , C h a n g s h uI n s t i t u t eo f T e c h n o l o g y , C h a n g s h u2 1 5 5 0 0 ，C h i n a ； 2 C o H e g eo f E n g i n e e r i n g ，H u a q i a oU n i v e r s i t y , Q B a n 吐O U3 6 2 0 2 1 ，C h i n a ) A b s t r a c t ：w 岫t h ee n v i r o n m e n to fn e wW e bt e c h n o l o g i e s ，t h r e ek i n d so fs e c o n d - o r d e rS Q Li n j e c t i o nt e c h n i q u e s w e r ep r o p o s e d ：b l i n ds e c o n d - o r d e rS Q Li n j e c t i o n ，s e c o n d - o r d e rS Q Li n j e c t i o na t t a c k st h eo p e r a t i n gs y s t e ma n dc l i e n ts e c o n d o r d e rS Q Li n j e c t i o n E x p e r i m e n t ss h o wt h a ts e c o n d - o r d e rS Q Li n j e c t i o nv u l n e r a b i l i t i e se x i s tw i d e l yi n W e ba p p l i c a t i o n s ，a n dt h ep r o p o s e dn e ws e c o n d - o r d e ri n j e c t i o nt e c h n i q u e sC a ne f f e c t i v e l yc o m m i ta t t a c k sb o t h s e r v e ra n dc l i e n t K e yw o r d s ：S Q L ；s e c o n do r d e rS Q L 蝎e c t i o n ；b l i n di n j e e t i o n ；a t t a c kp a y l o a d 1 引言 随着W e b 技术的飞速发展，W e b 应用也面临着 越来越多的安全问题。根据开放式W e b 应用安全项 目( O W A S P ，o p e nW e ba p p l i c a t i o ns e c u r i t yp r o j e c t ) 公布的数据，S Q L 注入漏洞是目前影响W e b 安全 的首要漏洞【l J 。过去几年，许多专家和学者对S Q L 注入漏洞进行了大量研究，并提出了许多注入方法 和防御技术【2 7 | ，但是这些研究却大多局限于一阶 S Q L 注入。二阶S Q L 注入是在传统一阶S Q L 注入 技术基础上发展而来，它更难以被发现，却有和一 阶S Q L 注入一样的安全威胁。目前对于二阶S Q L 注入技术的研究较少，Y A N 瞵J 等分析T - 阶S Q L 注 入的原理和形成过程，提出一种动态和静态结合检 测二阶S Q L 注入漏洞的方法。田玉杰p J 等提出了一 种基于改进参数化的二阶S Q L 注入攻击防御模 型，包括输入过滤模块、索引替换模块、语法比较 模块和参数化替换模块。但是这些方法对于二阶 S Q L 注入漏洞的检测效果并不理想。随着H T M L 5 等W e b 技术的兴起，S Q L 注入有了进一步的发展， 新型二阶S Q L 注入就是其中一种。新型二阶S Q L 注入是在H T M L 5 等新技术规范下的最新利用形 式，包括二阶S Q L 盲注、二阶S Q L 注入攻击操作 系统和客户端二阶S Q L 注入。其中，二阶S Q L 盲 注在通过二次请求能够执行存储于数据库中的攻 击载荷，但不能返回查询结果或任何错误消息的情 况下使用，可以通过时间延迟技术确认并利用漏 洞。二阶S Q L 注入攻击操作系统通过组合W e b 应 收稿日期：2 0 1 5 1 1 0 9 基金项目：国家自然科学基金资助项1 日( 6 1 2 0 2 4 4 0 ；6 1 1 7 0 1 2 4 ) ；福建省物联网云计算平台建设基金资助项N ( 2 0 1 3 H 2 0 0 2 ) F o u n d a t i o nI t e m s ：T h eN a t i o n a lN a t u r a lS c i e n c eo fF o u n d a t i o no fC h i n a ( 6 1 2 0 2 4 4 0 ；6 11 7 0 1 2 4 ) ；F u j i a nI n t e m e to fT h i n g sa n d C l o u dC o m p u t i n gP r o g r a m ( 2 0 13 H 2 0 0 2 ) 万方数据 通信学报第3 6 卷 用中不同部分的权限实现高数据库权限的攻击操 作系统。不同于传统S Q L 注入攻击服务器，客户端 二阶S Q L 注入利用H T M L 5 引入客户端数据存储的 机制，通过二阶S Q L 注入攻击客户端。这些新发展 的二阶S Q L 注入，使传统S Q L 注入防御技术失去 作用，不仅会威胁到服务器的信息安全，也会对个 人电脑、手机等客户端造成损失。 2 S Q L 注入技术 2 1 一阶S Q L 注入 一阶S Q L 注入是指通过W e b 输入直接把包含 攻击载荷的用户输入拼接到W e b 应用构造的动态 S Q L 语句中，该动态S Q L 语句被提交到数据库执 行从而获取未授权访问的技术【l o 】，其中攻击载荷是 指被拼装入S Q L 查询后能够改变原查询逻辑，实现 想要执行功能的一组语句【1 1 1 。例如，在用户登录的 页面l o g i n p h p 中，采用如下所示的动态查询语进行 登录用户认证。 S r m k = m y s q L c o n n e c t ( l o c a l h o s t , “r o o t , “r o o t ) ； $ q u e r y = “S E L E C T F R O MU s e r sW H E R E u s e m a m e = $ _ P O S T “u s e m a m e ”】A N Dp a s s w o r d = $ p O S T “p a s s w o r d ”1 ：” $ r e s u l t = m y s q l _ q u e r y ( $ q u e r y ) 以上代码使用P O S T 表单的用户输入动态构造 S Q L 查询，发送到数据库后可以被直接执行。如果 用户构造u s e r n a m e 输入的值为“O R1 = 1 ；D R O P T A B L EU s e r s ；- - - - = l lp a s s w o r d 字段填任意值，则构造 后的S Q L 查询语句如下。 S E L E C T F R O MU s e r s 、舳R Em e m a m e = ” O R1 = 1 ；D O R PT A B L EU s e r s ；一A N Dp a s s w o r d = 以上用户输入构造的S Q L 查询改变了执行逻 辑，不仅通过验证而且会附加执行删除U s e r s 表的 操作。图1 显示了一阶S Q L 注入攻击的操作流程。 客户靖W e b 立用数据库 1 ) 输入 2 ) 用一 3 ) 动态 4 ) 查询 攻击载荷 输入一构造S Q L 查询字符串一 5 ) 执行查询 I l O ) 获取J ) 响应 一7 ) 返回 6 ) 执行 攻击结果 3 ) 处理结果集 一结果集攻击载荷 图1 一阶S Q L 注入流程 从图l 可以看出，首先在客户端发送包含攻击 载荷的用户输入到W e b 应用，W e b 应用使用用户输 入构造动态S Q L 查询语句发送给数据库执行，然后 数据库执行查询并返回结果集到W e b 应用，最后 W e b 应用发送构造好的H T M L 页面到客户端，从而 能够在客户端获取信息。一阶S Q L 注入中常用的技 术有联合查询、堆叠查询、错误提示、存储过程、 重言式和盲注等I l2 | 。 2 2 二阶S Q L 注入 二阶S Q L 注入不同于一阶S Q L 注入中把攻 击载荷直接动态构造到S Q L 查询中并被数据库解 析执行，而是把S Q L 注入过程分为2 个阶段，即 把攻击载荷存入数据库阶段和通过相关请求使 W e b 应用检索之前存入数据库的攻击载荷构造 S Q L 查询阶段【l3 1 。造成二阶S Q L 注入的原因是 W e b 应用过于信任来自数据库的数据。例如，通 过W e b 应用的用户注册和用户资料修改功能可以 进行二阶S Q L 注入，即首先通过用户注册功能把 攻击载荷存入数据库中，然后通过用户资料修改 功能提取用户注册页面中用户存入数据库中的数 据构造S Q L 查询。其中，用户注册的关键代码如 下所示。 S l i n k = n e wm y s q l i ( “l o c a l h o s t ”，“r o o t ”， “r o o t ”) ； $ q u e r y = “I N S E R TI N T OU s e r sV A L U E S ( ? ， ? ，? ) ； $ c m d = $ 1 i n k - p r e p a r e ( $ q u r e y ) ； $ c m d - b i n d _ p a r a m ( “S S S ”，$ u s e m a m e ， $ p a s s w o r d ，$ e m a i l ) ； $