何谓资料隐码(SQL injection)攻击?程式设计师应如何预防?

By:
On:
In: Database, MySQL
Tagged: , , , , , , , , ,

这个问题是出自经济部所属事业机构 100年新进职员甄试试题,资讯管理、程式设计(pdf)的一题,这个问题ㄚ琪其实在设计PHP程式,搭配资料库所设计的应用程式,都会面临到这样的难题,因为ㄚ琪本身对安全概念倒是没有那么的完整,所以有些程式为了求快,常会舍安全而不顾,不过如果你在开发一个重要的程式时,应该要谨慎这方面的问题,好了,我们先从中文维基的解释来看吧。

SQL攻击(SQL injection,中国大陆称作SQL注入攻击,台湾称作SQL资料隐码攻击),简称隐码攻击,是发生于应用程式之资料库层的安全漏洞。简而言之,是在输入的字串之中夹带SQL指令,在设计不良的程式当中忽略了检查,那么这些夹带进去的指令就会被资料库伺服器误认为是正常的SQL指令而执行,因此遭到破坏。

[adsense]

有部份人认为SQL隐码攻击是只针对Microsoft SQL Server而来,但只要是支援批次处理SQL指令的资料库伺服器,都有可能受到此种手法的攻击。

原因

在应用程式中若有下列状况,则可能应用程式正暴露在SQL Injection的高风险情况下:

  1. 在应用程式中使用字串联结方式组合SQL指令。
  2. 在应用程式连结资料库时使用权限过大的帐户(例如很多开发人员都喜欢用sa(内建的最高权限的系统管理员帐户)连接Microsoft SQL Server资料库)。
  3. 在资料库中开放了不必要但权力过大的功能(例如在Microsoft SQL Server资料库中的xp_cmdshell延伸预存程式或是OLE Automation预存程式等)
  4. 太过于信任使用者所输入的资料,未限制输入的字元数,以及未对使用者输入的资料做潜在指令的检查。

作用原理

  1. SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字元为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)
  2. SQL命令对于传入的字串参数是用单引号字元所包起来。〈但连续2个单引号字元,在SQL资料库中,则视为字串中的一个单引号字元〉
  3. SQL命令中,可以夹带注解〈连续2个减号字元——后的文字为注解,或“/*”与“*/”所包起来的文字为注解〉
  4. 因此,如果在组合SQL的命令字串时,未针对单引号字元作取代处理的话,将导致该字元变数在填入命令字串时,被恶意窜改原本的SQL语法的作用。

例子

某个网站的登入验证的SQL查询代码为

strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"

恶意填入

userName = "' OR '1'='1";

passWord = "' OR '1'='1";

时,将导致原本的SQL字串被填为

strSQL = "SELECT * FROM users WHERE (name = '' OR '1'='1') and (pw = '' OR '1'='1');"

也就是实际上执行的SQL命令会变成下面这样的

strSQL = "SELECT * FROM users;"

因此达到无帐号密码,亦可登入网站。所以SQL隐码攻击被俗称为骇客的填空游戏。

可能造成的伤害

  1. 资料表中的资料外泄,例如个人机密资料,帐户资料,密码等。
  2. 资料结构被骇客探知,得以做进一步攻击(例如SELECT * FROM sys.tables)。
  3. 资料库伺服器被攻击,系统管理员帐户被窜改(例如ALTER LOGIN sa WITH PASSWORD=’xxxxxx’)。
  4. 取得系统较高权限后,有可能得以在网页加入恶意连结以及XSS。
  5. 经由资料库伺服器提供的作业系统支援,让骇客得以修改或控制作业系统(例如xp_cmdshell “net stop iisadmin”可停止伺服器的IIS服务)。
  6. 破坏硬碟资料,瘫痪全系统(例如xp_cmdshell “FORMAT C:”)。

避免的方法

  1. 在设计应用程式时,完全使用参数化查询(Parameterized Query)来设计资料存取功能。
  2. 在组合SQL字串时,先针对所传入的参数作字元取代(将单引号字元取代为连续2个单引号字元)。
  3. 如果使用PHP开发网页程式的话,亦可开启PHP的魔术引号(Magic quote)功能(自动将所有的网页传入参数,将单引号字元取代为连续2个单引号字元)。
  4. 其他,使用其他更安全的方式连接SQL资料库。例如已修正过SQL资料隐码问题的资料库连接元件,例如ASP.NET的SqlDataSource物件或是 LINQ to SQL。
  5. 使用SQL防资料隐码系统。

但是在英文的维基中,有几个章节中文维基中没有,像是Forms and validity,ㄚ琪也不太懂在这里的意思,但是从内容来看比较像是资料隐码的分类说明,我们另辟一篇文章来说明。

这里头有提到原因、作用原理、可能造成的伤害以及避免的方法。但是ㄚ琪觉得对一个新手程式设计师而言,有一个协助自动检查程式的机制或许会更好,不然谁会知道自己写的程式没问题,自我感觉良好的人,一定觉得没问题吧,呵呵,就像我这样。

查到PHP+MySQL环境下SQL Injection攻防总结,似乎是ㄚ琪开始注意写PHP程式时,要注意SQL injection了,共勉之,另外这个部落格也有MySQL的最佳化,很可以看喔。