SQL指令植入式攻擊的危害及其防范措施

　　在設計或者維護Web網(wǎng)站時，你也許擔心它們會受到某些卑鄙用戶的惡意攻擊。的確，如今的Web網(wǎng)站開發(fā)者們針對其站點所在操作系統(tǒng)平臺或Web 服務器的安全性而展開的討論實在太多了。

　　ExecLogin.asp (ASP 頁面) 代碼:<% Dim p_strUsername,

　　p_strPassword, objRS, strSQL p_strUsername = Request.Form("txtUsername")

　　p_strPassword = Request.Form("txtPassword")

　　strSQL = "SELECT * FROM tblUsers " & _ "WHERE

　　Username=" & p_strUsername & _ " and Password=" &

　　p_strPassword & "" Set objRS = Server.CreateObject

　　("ADODB.Recordset") objRS.Open strSQL,

　　"DSN=..." If (objRS.EOF) Then Response.Write "Invalid

　　login." Else Response.Write "You are logged in as "

　　& objRS("Username") End If Set objRS = Nothing %>

　　乍一看，ExecLogin.asp 的代碼似乎沒有任何安全漏洞，因為用戶如果不給出有效的用戶名/密碼組合就無法登錄。然而，這段代碼偏偏不安全，而且它正是SQL 指令植入式攻擊的理想目標。具體而言，設計者把用戶的輸入直接用于構(gòu)建SQL 指令，從而使攻擊者能夠自行決定即將被執(zhí)行的 SQL 指令。例如：攻擊者可能會在表單的用戶名或密碼欄中輸入包含“ or ”和“=” 等特殊字符。于是，提交給數(shù)據(jù)庫的 SQL 指令就可能是：

　　代碼:SELECT * FROM tblUsers WHERE Username= or = and Password = or =

　　這樣，SQL 服務器將返回 tblUsers 表格中的所有記錄，而 ASP 腳本將會因此而誤認為攻擊者的輸入符合 tblUsers 表格中的第一條記錄，從而允許攻擊者以該用戶的名義登入網(wǎng)站。

　　SQL 指令植入式攻擊還有另一種形式，它發(fā)生在 ASP 服務器根據(jù) querystring 參數(shù)動態(tài)生成網(wǎng)頁時。這里有一個例子，此 ASP 頁面從 URL 中提取出 querystring 參數(shù)中的 ID 值，然后根據(jù) ID 值動態(tài)生成后繼頁面：

　　代碼:<% Dim p_lngID, objRS, strSQL p_lngID = Request

　　("ID") strSQL = "SELECT * FROM tblArticles WHERE ID="

　　& p_lngID Set objRS = Server.CreateObject

　　("ADODB.Recordset") objRS.Open strSQL, "DSN=..."

　　If (Not objRS.EOF) Then Response.Write objRS

　　("ArticleContent") Set objRS = Nothing %>

　　在一般情況下，此 ASP 腳本能夠顯示具有特定 ID 值的文章的內(nèi)容，而 ID 值是由 URL 中的 querystring 參數(shù)指定的。例如：當URL為http://www.example.com/Article.asp?ID=1055 時，ASP 就會根據(jù) ID 為1055的文章提供的內(nèi)容生成頁面。

　　如同前述登錄頁面的例子一樣，此段代碼也向SQL 指令植入式攻擊敞開了大門。某些惡意用戶可能會把 querystring 中的文章 ID 值偷換為“0 or 1=1”等內(nèi)容(也就是說，把 URL 換成http://www.example.com/Article.asp?ID=0 or 1=1) 從而誘使 ASP 腳本生成不安全的SQL指令如：

　　代碼:SELECT * FROM tblArticles WHERE ID=0 or 1=1

　　于是，數(shù)據(jù)庫將會返回所有文章的內(nèi)容。

　　當然了，本例服務器所受的攻擊不一定會引起什么嚴重后果?？墒?，攻擊者卻可能變本加厲，比如用同樣的手段發(fā)送 DELETE 等SQL指令。這只需要簡單地修改前述 URL 中的querystring 參數(shù)就可以了!例如：任何人都可以通過 http://www.example.com/Article.asp?ID=1055; DELETE FROM tblArticles ”之類的URL來訪問Web網(wǎng)站。

　　SQL指令植入式攻擊的危害

　　SQL 指令植入式攻擊可能引起的危害取決于該網(wǎng)站的軟件環(huán)境和配置。當 Web 服務器以操作員(dbo)的身份訪問數(shù)據(jù)庫時，利用SQL 指令植入式攻擊就可能刪除所有表格、創(chuàng)建新表格，等等。當服務器以超級用戶 (sa) 的身份訪問數(shù)據(jù)庫時，利用SQL 指令植入式攻擊就可能控制整個SQL服務器;在某些配置下攻擊者甚至可以自行創(chuàng)建用戶賬號以完全操縱數(shù)據(jù)庫所在的Windows 服務器。

　　SQL指令植入式攻擊

　　杜絕SQL 指令植入式攻擊的第一步就是采用各種安全手段監(jiān)控來自 ASP request 對象 (Request 、 Request.QueryString 、 Request.Form 、 Request.Cookies 和 Request.ServerVariables) 的用戶輸入，以確保 SQL 指令的可靠性。具體的安全手段根據(jù)你的 DBMS 而異，下面給出的都是基于 MS SQL Server的例子。

　　在前述登錄頁面的例子中，腳本期望得到的兩個輸入變量 (txtUserName 和 txtPassword)均為字符串類型。無論用戶在哪個參數(shù)中插入單引號，他都可能讓數(shù)據(jù)庫執(zhí)行單引號中的 SQL 指令。為了杜絕此類SQL 指令植入式攻擊，我們可以借助 Replace 函數(shù)剔除單引號，比如：

　　代碼:p_strUsername = Replace(Request.Form("txtUsername"), "", "")

　　p_strPassword = Replace(Request.Form("txtPassword"), "", "")

　　在第二個例子中，腳本期望的輸入變量是長整型變量 (ID) 。用戶可以通過在 ID 參數(shù)中插入特殊字符來運行不安全的 SQL 指令。為了為了杜絕此類SQL 指令植入式攻擊，我們只需要借助 CLng 函數(shù)限制 ID 值為長整型變量，比如： 代碼:p_lngID = CLng(Request("ID"))

　　當用戶試圖在 ID 中包含特殊字符時，CLng 就會產(chǎn)生一個錯誤。

　　為了進一步減少SQL 指令植入式攻擊的危脅，請務必清除客戶端錯誤信息文本中的所有技術(shù)資料。某些錯誤信息往往泄露了技術(shù)細節(jié)，從而讓攻擊者可以看出服務器的安全漏洞所在。這里指的錯誤信息不但包括應用程序生成的消息框，還包括來自 IIS 的出錯提示。為此，你可以禁止由 IIS 發(fā)送的詳細錯誤信息，而改用自定義的出錯頁面。